Mozilla a corrigé un problème de sécurité dans Firefox qui aurait pu permettre à un attaquant d’usurper des sites Web légitimes via un mode « plein écran » exécuté furtivement.
La vulnérabilité (CVE-2022-22746), qui était présente dans les versions Windows de Firefox, est un bogue de condition de concurrence qui pourrait entraîner le contournement de l’avertissement de notification plein écran du navigateur.
Cela pourrait permettre à un attaquant de tromper un utilisateur en cliquant sur des liens ou en saisissant des détails sensibles sur un faux site Web, entre autres activités malveillantes.
A NE PAS MANQUER VMware Horizon sous attaque alors qu’un groupe de rançongiciels basé en Chine cible la vulnérabilité Log4j
En contrôlant une fenêtre de navigateur plein écran à l’insu de l’utilisateur, l’attaquant peut usurper la barre d’adresse URL d’un site authentique – quelque chose qui est généralement contrôlé par le navigateurainsi que d’autres indicateurs de confiance « au-dessus de la ligne ».
L’attaquant pourrait aller plus loin en servant non seulement ce qui semble être le domaine approprié, mais également l’icône de cadenas SSL utilisée pour rassurer les internautes sur le fait que le site est protégé par HTTPS.
UN article de blog par le chercheur Feross Aboukhadijeh montre comment les attaques plein écran fonctionnent avec un exploit de preuve de concept similaire, bien que beaucoup plus ancien.
La vulnérabilité, marquée comme étant de gravité élevée, a été découverte par le chercheur Irvan Kurniawan et corrigée dans Firefox 96 pour Windows, dans le cadre de la première version de sécurité du navigateur de 2022.
UN conseil en sécurité de Mozilla hier (11 janvier) répertorie un certain nombre d’autres bogues de sécurité qui ont maintenant été corrigés dans Firefox.
En plus de deux autres variantes de l’attaque de Kurniawan, la version inclut un correctif pour CVE-2021-4140, un contournement de bac à sable iframe avec XSLT, entre autres bogues.