Szerző: Hlács Ferenc

2019. november 6. 10:30

Aktívan kihasznált bug tűnt fel a Firefoxban

A böngészőt teljesen befagyasztó hiba a macOS-es és windowos verziót is érinti.

Aktívan kihasznált Firefox biztonsági rést fedeztek fel a Malwarebytes szakértői. A bugot igába hajtva a támadók egy hibaüzenetet jeleníthetnek meg a tőrbe csalt felhasználóknál - miközben a böngészőt teljes egészében befagyasztják, a bezárás gombot is beleértve.

A jelenleg is aktív támadások során az elkövetők egy a Microsoft terméktámogatási oldalának álcázott felületre csalják az áldozatot. Itt a böngésző befagyasztásával megjelenő üzenetben arról tájékoztatják, az adott gépen rendszer kalóz verziója fut, a problémát pedig a felhasználó a megadott, "ingyenes" telefonszám tárcsázásával oldhatja meg. A bug mind a Firefox windowsos, mind pedig a macOS-es verzióját érinti, a felhasználó pedig az üzenettől csak a böngésző kényszerített bezárásával szabadulhat meg, a feladatkezelő, illetve macOS esetében a Force Close funkció segítségével. Ráadásul amennyiben a böngészőben be van állítva a lapok automatikus visszaállítása, a szoftver újraindításakor ismét előjön a bug - ilyenkor az rosszindulatú oldalt a böngésző elindítása után még annak betöltődése előtt be kell zárni.

ffoxbug

Kép: Ars Technica

A bugot az Ars Technica szerint Jérôme Segura, a Malwarebytes szakértője hétfőn jelezte a Mozilla felé, kiemelve, hogy azt több kártékony oldalon is aktívan kihasználják - a szervezet pedig rögtön el is kezdett dolgozni a hiba javításán, amelyet ígérete szerint a Firefox csőben lévő 71-es vagy 72-es főverziójában szállít le.

A sebezhetőség a felugró autentikációs ablakok gyengeségeit használja ki, amelyek lehetővé teszik, hogy a böngésző fókuszát a támadók elvegyék a fő ablaktól - a megoldás visszatérő problémát jelent nem csak a Firefox, de a Chrome esetében is. Segura a lapnak arról beszélt, egy másik, hasonló bug már két éve jelen van a Firefoxban, annak javítása azonban továbbra is várat magára, igaz szerencsére azt jelen állás szerint nem használják ki rosszindulatú felek.

Noha jelen esetben a csalók hibaüzenetének a hivatalos formátumtól távol álló megfogalmazása a kevésbé naprakész felhasználóknak is feltűnő lehet, a sérülékenység így is komoly biztonsági kockázatot jelent, a Mozilla pedig bár gyorsan reagált az ügyben, a javítás kiadását nem sieti el. Az említett 71-es főverzió ugyanis a szervezet ütemterve szerint csak egy szűk hónap múlva érkezik, ha pedig a 72-esig kell várni rá, akkor a patch csak jövő január 7-én lesz esedékes.

a címlapról

dualsense

0

Bemutatkozott a PS5 kontrollere

2020. április 8. 12:30

A Sony az elődökhöz képest alaposan átrajzolt vezérlője DualSense néven debütál.