Aktívan kihasznált bug tűnt fel a Firefoxban
A böngészőt teljesen befagyasztó hiba a macOS-es és windowos verziót is érinti.
Aktívan kihasznált Firefox biztonsági rést fedeztek fel a Malwarebytes szakértői. A bugot igába hajtva a támadók egy hibaüzenetet jeleníthetnek meg a tőrbe csalt felhasználóknál - miközben a böngészőt teljes egészében befagyasztják, a bezárás gombot is beleértve.
A jelenleg is aktív támadások során az elkövetők egy a Microsoft terméktámogatási oldalának álcázott felületre csalják az áldozatot. Itt a böngésző befagyasztásával megjelenő üzenetben arról tájékoztatják, az adott gépen rendszer kalóz verziója fut, a problémát pedig a felhasználó a megadott, "ingyenes" telefonszám tárcsázásával oldhatja meg. A bug mind a Firefox windowsos, mind pedig a macOS-es verzióját érinti, a felhasználó pedig az üzenettől csak a böngésző kényszerített bezárásával szabadulhat meg, a feladatkezelő, illetve macOS esetében a Force Close funkció segítségével. Ráadásul amennyiben a böngészőben be van állítva a lapok automatikus visszaállítása, a szoftver újraindításakor ismét előjön a bug - ilyenkor az rosszindulatú oldalt a böngésző elindítása után még annak betöltődése előtt be kell zárni.
Kép: Ars Technica
A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.
A bugot az Ars Technica szerint Jérôme Segura, a Malwarebytes szakértője hétfőn jelezte a Mozilla felé, kiemelve, hogy azt több kártékony oldalon is aktívan kihasználják - a szervezet pedig rögtön el is kezdett dolgozni a hiba javításán, amelyet ígérete szerint a Firefox csőben lévő 71-es vagy 72-es főverziójában szállít le.
A sebezhetőség a felugró autentikációs ablakok gyengeségeit használja ki, amelyek lehetővé teszik, hogy a böngésző fókuszát a támadók elvegyék a fő ablaktól - a megoldás visszatérő problémát jelent nem csak a Firefox, de a Chrome esetében is. Segura a lapnak arról beszélt, egy másik, hasonló bug már két éve jelen van a Firefoxban, annak javítása azonban továbbra is várat magára, igaz szerencsére azt jelen állás szerint nem használják ki rosszindulatú felek.
Noha jelen esetben a csalók hibaüzenetének a hivatalos formátumtól távol álló megfogalmazása a kevésbé naprakész felhasználóknak is feltűnő lehet, a sérülékenység így is komoly biztonsági kockázatot jelent, a Mozilla pedig bár gyorsan reagált az ügyben, a javítás kiadását nem sieti el. Az említett 71-es főverzió ugyanis a szervezet ütemterve szerint csak egy szűk hónap múlva érkezik, ha pedig a 72-esig kell várni rá, akkor a patch csak jövő január 7-én lesz esedékes.