Firefox for Android nieprawidłowo egzekwował atrybut bezpieczeństwa `allow-downloads` dla osadzonych ramek iframe działających w trybie sandbox. Umożliwia to złośliwej stronie internetowej inicjowanie pobierania plików pomimo braku wymaganego uprawnienia.
▸ Pokaż oryginał (EN)
Firefox for Android allowed a sandboxed iframe without the `allow-downloads` attribute to start downloads. This vulnerability was fixed in Firefox 141.
Mechanizm sandbox dla elementów iframe w HTML przewiduje atrybut `allow-downloads`, który musi być jawnie nadany, aby ramka mogła inicjować pobieranie plików. W Firefox for Android kontrola tego uprawnienia była implementowana niepoprawnie (CWE-732 — nieprawidłowe przypisanie uprawnień do zasobów), w efekcie czego iframe działający w trybie sandbox, bez atrybutu `allow-downloads`, mógł mimo to uruchamiać pobieranie plików. Atakujący mógł umieścić złośliwą ramkę iframe na kontrolowanej stronie i zainicjować pobieranie bez wiedzy i zgody użytkownika.
Atakujący może zainicjować pobieranie dowolnych plików na urządzeniu użytkownika bez wymaganego uprawnienia, co może prowadzić do dostarczenia złośliwego oprogramowania lub nieuprawnionego zapisu plików na urządzeniu z systemem Android.
Należy zaktualizować Firefox for Android do wersji 141 lub nowszej, w której podatność została naprawiona. Aktualizacja dostępna jest poprzez Google Play Store.
Mozilla Firefox for Android w wersjach poprzedzających Firefox 141 (na urządzeniach z systemem Google Android)
Podatność została naprawiona w Firefox 141 zgodnie z oficjalnym komunikatem bezpieczeństwa Mozilla (MFSA2025-56). Mimo oceny CVSS 9.8 (CRITICAL), CISA nie odnotowała aktywnego exploitowania tej podatności.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HGoogle Android
OSGooglewszystkie wersjeMozilla Firefox
APPMozilla< 141.0
Powiązane podatności
Use-after-free w Animation timelines Firefox/Thunderbird — RCE
An unexpected message in the WebGPU IPC framework could lead to a use-after-free and exploitable sandbox escap...
Heap buffer overflow in UI in Google Chrome on Android prior to 86.0.4240.185 allowed a remote attacker who ha...
Insufficient vetting of parameters passed with the Prompt:Open IPC message between child and parent processes ...
Adobe Flash Player 21.0.0.197 and earlier allows remote attackers to cause a denial of service (application cr...