macOSやiOSのSafari v11.1.1までに、ラテン文字拡張の「d」をラテン文字の「d」と誤って認識し、悪意のあるWebサイトへ誘導される可能性のある脆弱性が発見される。

　macOSやiOSなどのSafari v11.1.1に、ラテン文字拡張の「d」を基本ラテン文字の「d」と誤って認識し悪意のあるWebサイトへ誘導される可能性のある脆弱性が発見されたそうです。詳細は以下から。

　中国テンセントXuanwu Labのセキュリティ研究者xisigrさんによると、バージョン11.1.1までのSafariにURL処理の不具合によりWebサイトへ誘導される可能性がある脆弱性(CVE-2018-4277)が発見されたそうです。

WebKit

• 対象 OS：OS X El Capitan 10.11.6、macOS Sierra 10.12.6、macOS High Sierra 10.13.4
• 影響：悪意のある Web サイトにアクセスすると、アドレスバーを偽装される可能性がある。
• 説明：URL の処理に、偽装の脆弱性がありました。入力検証を強化し、この脆弱性に対処しました。
• CVE-2018-4277：Tencent の Xuanwu Lab (tencent.com) の xisigr 氏

2018 年 7 月 10 日に追加

Safari 11.1.1 のセキュリティコンテンツについて – Apple サポート

CVE-2018-4277

　xisigrさんが公開した情報によると、この脆弱性は旧バージョンのSafari(WebKit)がラテン文字拡張の「d」(U+A771)を小文字の「d」(U+0064)として処理してしまうことが原因で、これにより”icloud(U+A771).com”など悪意のあるURLによるIDNスプーフィング(ホモグラフ攻撃)の可能性があったそうで、

Evil U+A771
In my research, I found Latin small letter dum (U+A771) glyph is very similar to Latin small letter D (U+0064) in Apple products. From the glyph standard of Unicode (U+A771), we can see that there should be a small apostrophe after d, but this is completely ignored in Apple products.

Spoof All Domains Containing ‘d’ in Apple Products [CVE-2018-4277] – Tencent Security Xuanwu Lab

xisigrさんは実際に悪意のあるURL(icloud.com:xn--iclou-rl3s.com)を取得し、Firefox, Chrome, Edgeなど複数のブラウザで試してみたところ、Safariのみアドレスバーに”icloud.com”と表示されてしまったそうで、この問題は”dropbox.com”や”adobe.com”などdを含む全てのドメイン(Google Top 10Kドメインの約25%)に関連するため、

この脆弱性が修正されたSafari v11.1.1を含む、Appleが07月に公開したmacOS 10.13.5 High Sierra, iOS 11.4.1, tvOS 11.4.1, watcOS 4.3.2アップデートを適用するよう勧めています。

• Spoof All Domains Containing ‘d’ in Apple Products [CVE-2018-4277] – Tencent Security Xuanwu Lab
• For Apple users without latest security updates, the letter ‘d’ is not always the letter ‘d’ – ZDNet