CRITICAL🇬🇧 English

CVE-2024-10004

Firefox iOS: błędny wskaźnik HTTPS przy otwieraniu zewnętrznych linków HTTP

CVSS 9.1v3.1pub. 2024-10-15upd. 2025-04-04

Podatność w Firefox dla iOS powoduje nieprawidłowe wyświetlanie ikony kłódki HTTPS podczas otwierania zewnętrznych linków HTTP, gdy przeglądarka była wcześniej zamknięta z otwartą kartą HTTPS. Może to wprowadzać użytkowników w błąd co do bezpieczeństwa przeglądanego połączenia.

Pokaż oryginał (EN)

Opening an external link to an HTTP website when Firefox iOS was previously closed and had an HTTPS tab open could in some cases result in the padlock icon showing an HTTPS indicator incorrectly This vulnerability affects Firefox for iOS < 131.2.

🤖 Analiza AI
Jak działa

Błąd klasyfikowany jako CWE-1021 (Improper Restriction of Rendered UI Layers) polega na nieprawidłowym renderowaniu elementów interfejsu użytkownika. Gdy Firefox iOS zostaje zamknięty z aktywną kartą HTTPS, a następnie otwarty poprzez zewnętrzny link prowadzący do strony HTTP, aplikacja w niektórych przypadkach błędnie wyświetla ikonę kłódki sugerującą szyfrowane połączenie HTTPS, mimo że rzeczywiste połączenie jest niezaszyfrowane.

Skutki

Atakujący może wykorzystać tę podatność do przeprowadzenia ataku phishingowego — ofiara odwiedzająca niezaszyfrowaną stronę HTTP może zostać wprowadzona w błąd przez fałszywy wskaźnik bezpiecznego połączenia i ujawnić poufne dane, takie jak hasła lub informacje finansowe.

Mitygacja

Należy zaktualizować Firefox dla iOS do wersji 131.2 lub nowszej, dostępnej w App Store. Szczegóły w oficjalnym biuletynie bezpieczeństwa Mozilla MFSA2024-54.

Kogo dotyczy

Firefox dla iOS w wersjach wcześniejszych niż 131.2

Uwagi

Podatność dotyczy wyłącznie wersji Firefox na platformę iOS — inne platformy (Android, Desktop) nie są objęte tym zgłoszeniem. Błąd został zgłoszony w systemie Bugzilla Mozilla pod numerem #1904885.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Mozilla Firefox

    APP
    Mozilla
    < 131.2.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-9680CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Use-after-free w Animation timelines Firefox/Thunderbird — RCE

CVE-2022-26486CRITICAL9.6⚠ KEVten sam produkt

An unexpected message in the WebGPU IPC framework could lead to a use-after-free and exploitable sandbox escap...

CVE-2019-11708CRITICAL10.0⚠ KEVten sam produkt

Insufficient vetting of parameters passed with the Prompt:Open IPC message between child and parent processes ...

CVE-2010-3765CRITICAL9.8⚠ KEVten sam produkt

Mozilla Firefox 3.5.x through 3.5.14 and 3.6.x through 3.6.11, Thunderbird 3.1.6 before 3.1.6 and 3.0.x before...

CVE-2026-14241CRITICAL9.8ten sam produkt

Memory safety bugs present in Firefox 152.0.3. Some of these bugs showed evidence of memory corruption and we ...