Podatność w Firefox dla iOS powoduje nieprawidłowe wyświetlanie ikony kłódki HTTPS podczas otwierania zewnętrznych linków HTTP, gdy przeglądarka była wcześniej zamknięta z otwartą kartą HTTPS. Może to wprowadzać użytkowników w błąd co do bezpieczeństwa przeglądanego połączenia.
▸ Pokaż oryginał (EN)
Opening an external link to an HTTP website when Firefox iOS was previously closed and had an HTTPS tab open could in some cases result in the padlock icon showing an HTTPS indicator incorrectly This vulnerability affects Firefox for iOS < 131.2.
Błąd klasyfikowany jako CWE-1021 (Improper Restriction of Rendered UI Layers) polega na nieprawidłowym renderowaniu elementów interfejsu użytkownika. Gdy Firefox iOS zostaje zamknięty z aktywną kartą HTTPS, a następnie otwarty poprzez zewnętrzny link prowadzący do strony HTTP, aplikacja w niektórych przypadkach błędnie wyświetla ikonę kłódki sugerującą szyfrowane połączenie HTTPS, mimo że rzeczywiste połączenie jest niezaszyfrowane.
Atakujący może wykorzystać tę podatność do przeprowadzenia ataku phishingowego — ofiara odwiedzająca niezaszyfrowaną stronę HTTP może zostać wprowadzona w błąd przez fałszywy wskaźnik bezpiecznego połączenia i ujawnić poufne dane, takie jak hasła lub informacje finansowe.
Należy zaktualizować Firefox dla iOS do wersji 131.2 lub nowszej, dostępnej w App Store. Szczegóły w oficjalnym biuletynie bezpieczeństwa Mozilla MFSA2024-54.
Firefox dla iOS w wersjach wcześniejszych niż 131.2
Podatność dotyczy wyłącznie wersji Firefox na platformę iOS — inne platformy (Android, Desktop) nie są objęte tym zgłoszeniem. Błąd został zgłoszony w systemie Bugzilla Mozilla pod numerem #1904885.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:NMozilla Firefox
APPMozilla< 131.2.0
Powiązane podatności
Use-after-free w Animation timelines Firefox/Thunderbird — RCE
An unexpected message in the WebGPU IPC framework could lead to a use-after-free and exploitable sandbox escap...
Insufficient vetting of parameters passed with the Prompt:Open IPC message between child and parent processes ...
Mozilla Firefox 3.5.x through 3.5.14 and 3.6.x through 3.6.11, Thunderbird 3.1.6 before 3.1.6 and 3.0.x before...
Memory safety bugs present in Firefox 152.0.3. Some of these bugs showed evidence of memory corruption and we ...