CRITICAL🇬🇧 English

CVE-2025-55031

Mozilla Firefox/Focus dla iOS — przejęcie konta przez nadużycie FIDO hybrid passkey

CVSS 9.8v3.1pub. 2025-08-19upd. 2026-04-13

Złośliwe strony internetowe mogły wykorzystać Firefox dla iOS do przekazania systemu operacyjnemu specjalnych linków FIDO:, co uruchamiało mechanizm hybrydowego transportu passkey przez Bluetooth. Atakujący znajdujący się w zasięgu Bluetooth mógł w ten sposób nakłonić użytkownika do nieświadomego uwierzytelnienia konta atakującego zamiast własnego.

Pokaż oryginał (EN)

Malicious pages could use Firefox for iOS to pass FIDO: links to the OS and trigger the hybrid passkey transport. An attacker within Bluetooth range could have used this to trick the user into using their passkey to log the attacker's computer into the target account. This vulnerability was fixed in Firefox for iOS 142 and Focus for iOS 142.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej walidacji przekierowań (CWE-601 — open redirect) w obsłudze schematów FIDO: w aplikacji Firefox dla iOS. Złośliwa strona mogła wstrzyknąć link FIDO: i zlecić systemowi operacyjnemu uruchomienie hybrydowego transportu passkey opartego na Bluetooth. Atakujący w zasięgu Bluetooth ofiary mógł podszyć się pod prawidłowe urządzenie docelowe, przez co użytkownik autoryzował sesję atakującego, a nie własną.

Skutki

Atakujący może przejąć pełną kontrolę nad kontem ofiary w serwisie docelowym, ponieważ użytkownik nieświadomie uwierzytelnia sesję logowania atakującego przy użyciu własnego passkey. Skutkuje to naruszeniem poufności i integralności chronionego konta.

Mitygacja

Należy niezwłocznie zaktualizować aplikację Firefox dla iOS do wersji 142 lub nowszej oraz Firefox Focus dla iOS do wersji 142 lub nowszej. Aktualizacje są dostępne za pośrednictwem Apple App Store. Do czasu aktualizacji należy unikać odwiedzania niezaufanych stron internetowych w środowiskach z włączonym Bluetooth.

Kogo dotyczy

Firefox dla iOS w wersjach poprzedzających 142 oraz Firefox Focus dla iOS w wersjach poprzedzających 142.

Uwagi

Podatność dotyczy wyłącznie aplikacji mobilnych Firefox i Firefox Focus na platformę iOS — nie obejmuje wersji desktopowych Firefox ani innych systemów operacyjnych. Warunkiem przeprowadzenia ataku jest fizyczna bliskość atakującego (zasięg Bluetooth).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Mozilla Firefox

    APP
    Mozilla
    < 142.0
  • Mozilla Firefox Focus

    APP
    Mozilla
    < 142.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-9680CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Use-after-free w Animation timelines Firefox/Thunderbird — RCE

CVE-2022-26486CRITICAL9.6⚠ KEVten sam produkt

An unexpected message in the WebGPU IPC framework could lead to a use-after-free and exploitable sandbox escap...

CVE-2019-11708CRITICAL10.0⚠ KEVten sam produkt

Insufficient vetting of parameters passed with the Prompt:Open IPC message between child and parent processes ...

CVE-2010-3765CRITICAL9.8⚠ KEVten sam produkt

Mozilla Firefox 3.5.x through 3.5.14 and 3.6.x through 3.6.11, Thunderbird 3.1.6 before 3.1.6 and 3.0.x before...

CVE-2026-14241CRITICAL9.8ten sam produkt

Memory safety bugs present in Firefox 152.0.3. Some of these bugs showed evidence of memory corruption and we ...