Уязвимость в Firefox позволяет перехватить управление браузерами в той же сети Wi-Fi

20 сентября 2020 года

Wikinews-logo-ru.svg

Инженеры Mozilla исправили серьезную уязвимость в версии браузера Firefox для Android, с помощью которой злоумышленники могли бы перехватить управление всеми браузерами Firefox, находящимися в той же сети Wi-Fi, и вынудить пользователей посетить вредоносные сайты, например, фишинговые страницы.

Как пояснил ИБ-эксперт Крис Моберли (Chris Moberly), обнаруживший уязвимость, проблема связана с протоколом обнаружения сервисов (Simple Service Discovery Protocol, SSDP) в браузере. Данный протокол используется для поиска устройств в той же сети для передачи или получения контента. При обнаружении устройства механизм SSDP получает доступ к XML файлу с конфигурацией устройства.

По словам Моберли, в выпусках Firefox до версии 79 (использующих движок SSDP v68.11.0 и ниже) возможно скрыть intent-команды в XML-файле, которые браузер будет выполнять, например, команду открыть ссылку.

Эксплуатация уязвимости не требует взаимодействия с пользователем, проведения атаки «человек посередине» или установки вредоносного приложения. Для этого всего лишь нужно, чтобы на мобильном устройстве был установлен браузер Firefox.

Моберли уведомил разработчиков Firefox об уязвимости летом нынешнего года. Пользователям рекомендуется обновиться до новой версии браузера как можно скорее. Проблема не затрагивает десктопные версии Firefox

 

ИсточникиПравить

Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
 

Комментарии:Уязвимость в Firefox позволяет перехватить управление браузерами в той же сети Wi-Fi