Komponent Focus w Mozilla Firefox nieprawidłowo obcinał wyświetlany adres URL od początku zamiast wokół źródła (origin). Może to prowadzić do wprowadzenia użytkownika w błąd co do rzeczywistej odwiedzanej strony, co stanowi poważne zagrożenie dla bezpieczeństwa.
▸ Pokaż oryginał (EN)
Focus incorrectly truncated URLs towards the beginning instead of around the origin. This vulnerability was fixed in Firefox 141.
Podatność (CWE-451 — User Interface Misrepresentation of Critical Information) polega na tym, że gdy adres URL jest zbyt długi, aby zmieścić się w pasku adresu, mechanizm Focus skracał go od początku ciągu znaków zamiast zachowywać i eksponować część zawierającą origin (domenę). W rezultacie użytkownik widzi fragment URL, który nie odzwierciedla rzeczywistej domeny serwera, co może być wykorzystane przez atakującego do przeprowadzenia ataku spoofingowego — ofiara sądzi, że przebywa na zaufanej stronie, podczas gdy faktycznie jest na domenie kontrolowanej przez napastnika.
Atakujący może nakłonić użytkownika do przekonania, że odwiedza zaufaną witrynę, co otwiera drogę do wyłudzenia danych uwierzytelniających (phishing) lub przeprowadzenia innych ataków opartych na fałszowaniu tożsamości serwisu.
Należy zaktualizować Mozilla Firefox do wersji 141 lub nowszej. W przypadku Mozilla Thunderbird należy zastosować patche dostępne u producenta zgodnie z referencjami (https://www.mozilla.org/security/advisories/mfsa2025-56/)
Mozilla Firefox w wersjach poprzedzających 141; zgodnie z opisem podatność dotyczy również Mozilla Thunderbird — szczegółowe wersje wskazane w referencjach producenta
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HMozilla Firefox
APPMozilla< 141.0Mozilla Thunderbird
APPMozilla< 141.0
Powiązane podatności
Use-after-free w Animation timelines Firefox/Thunderbird — RCE
An unexpected message in the WebGPU IPC framework could lead to a use-after-free and exploitable sandbox escap...
Insufficient vetting of parameters passed with the Prompt:Open IPC message between child and parent processes ...
Mozilla Firefox 3.5.x through 3.5.14 and 3.6.x through 3.6.11, Thunderbird 3.1.6 before 3.1.6 and 3.0.x before...
Memory safety bugs present in Firefox 152.0.3. Some of these bugs showed evidence of memory corruption and we ...