Firefox 96 でフィッシングを止めろ:フルスクリーン通知バイパスの脆弱性などが FIX

Firefox fixes fullscreen notification bypass bug that could have led to convincing phishing campaigns

2022/01/12 DailySwig — Mozilla Firefox に存在する、セキュリティ問題にパッチが適用された。この問題は、攻撃者が密かに実行するフルスクリーン・モードを介して、正規の Web サイトに成りすますことを許すものだ。この脆弱性 CVE-2022-22746 は、Windows 版の Firefox に存在していたものであり、競合状態のバグにより、ブラウザのフルスクリーン通知の警告が回避されてしまうという。それにより、攻撃者はユーザーを騙すことが可能となり、悪意のリンクのクリックや、偽 Web サイトへの機密情報の入力といった、悪意のある行為を実行できる。

攻撃者は、ユーザーに気づかれないように Firefox のフルスクリーン・ウィンドウを操作し、通常ではブラウザにより制御される URL アドレスバーなどの、信頼性を示す指標を偽装できる。さらに攻撃者は、適切なドメインと思われるものを提供するだけでなく、そのサイトが HTTPS で保護されていることをユーザーに示す、SSL パッドロック・アイコンを提供することも可能だ。

研究者である Feross Aboukhadijeh のブログ記事によると、フルスクリーン攻撃が機能する方式については、かなり古い類似性のある PoC エクスプロイトで示されている。この、深刻度 High される脆弱性は、研究者である Irvan Kurniawan により発見され、2022年にリリースされた最初のセキュリティ・リリースの一環として、Windows 版 Firefox 96 で修正された。

2022年1月11日に Mozillaから発表されたセキュリティ・アドバイザリには、最新の Firefox で修正された多数のセキュリティ・バグも掲載されている。今回のリリースでは、さらなる2つの攻撃バリエーションに加え、XSLT による iframe サンドボックス・バイパスである、脆弱性 CVE-2021-4140 の修正などが含まれている。

こんなところに? という感じの脆弱性ですが、見つけてくれた Feross Aboukhadijeh さんに感謝ですね。1月11日の Mozilla セキュリティ・アドバイザリには、この CVE-2022-22746 も含めて High が7つも並んでいます。関連する情報としては、12月6日に「14種類の XS-Leaks 攻撃:Chrome/Edge/Safari/Firefox などに影響する」という記事がありますので、よろしければ ご参照ください。

%d bloggers like this: