Mozilla の通常の毎月第 XNUMX 火曜日のリリース サイクルに従って、Firefox の最新のメジャー アップデートがリリースされました。
セキュリティ修正のリスト 今月 (満月のように、暦月に Firefox のリリースが XNUMX つあることもありますが、ほとんどの月は XNUMX つだけです) は驚くほど短く、リストには重大なバグやゼロデイはありません。
しかし、意図的なトリックにも強い、応答性が高くユーザーフレンドリーなブラウザー コードを作成するのは難しいということを思い出させる、魅力的なバグがあります。
そのバグ、指定されました CVE-2023-34414、評価されています ハイと、ちょっと不思議な言葉で説明されています。 レンダリングの遅延によるクリックジャッキング証明書の例外。
専門用語を分解する
このバグレポートの専門用語を分解してみましょう。
クリックジャッキング非常に簡単に言うと、攻撃者がクリックしても安全に見える (または望ましい) と思われる画面の部分にユーザーを誘導し、ユーザーをだましてマウスをクリックしたり、X でマークされた場所を指でタップさせたりする場所です。
…クリックが Web ページ内のコンポーネントに送信されるだけです。クリックが実際にどこに送信されるかを知っていれば、絶対にクリックしなかったはずです。
たとえば、不正なオンライン広告販売者は、クリック可能な広告と無害に見える無関係な画像をマッシュアップしようとする可能性があります。 [OK]
ボタンですが、実際にはクリックするだけで広告がアクティブになり、広告詐欺に巻き込まれることになります。
クリックジャッキングのもう 2010 つの悪用は、クリックジャッキングが大流行していた XNUMX 年代初期に、まったく関係のないコンテンツ (偽物の可能性もあります) の上に、目に見えないソーシャル メディアの「いいね!」ボタンを重ねることでした。 [Cancel]
情報通のユーザーがクリックしたくなるボタンです)。
このようにして、最終的には、自分が拒否しているか拒否しているのではないかという誤解のもと、とんでもないコンテンツであっても支持するようだまされてしまう可能性があります。
幸いなことに、ブラウザのメーカーはこの種のクリックジャッキング裏技をすぐに検出して回避し始めたため、サイバー犯罪者にとってクリックジャッキングはますます役に立たなくなりました。
技術名 ユーザーインターフェース救済攻撃 用語として一時的に登場しました。 しかし、「救済」という言葉の曖昧さは、両方の意味を持ちます。 再ドレスアップ の意味で 新しい服を着て再びドレスアップする, ドレスを着せ直す の意味で 間違いを正す、この派手な表現がわかりにくくなりました。 言葉 クリックジャック はるかに短かっただけでなく、より明確でクールに使用できたので、この言葉が心に残りました。
証明書の例外 これは、見た目とは異なる可能性のある Web サイト (たとえば、 example.com
それは自分自身を次のように識別します unknown.invalid
; 長い間更新されていない Web 証明書を持つサーバー。 または既知の認証局によって保証されていない証明書。
たとえば、次のようにします。
レンダリングラグ ブラウザが新しいコンテンツを表示する命令を受け取った瞬間から、コンテンツを表示できる状態にするために必要な HTML、CSS、グラフィックス、および JavaScript の処理が完了するまでの遅延です。
Mozilla によると、CVE-2023-34414 バグは、次の順序でバランス (または不均衡のことを意味するかもしれません) を適切に (または間違って) 取得した攻撃者によって引き起こされる可能性があります。
- コンテンツをルアーとして提供し、 おそらくクリックしたくなるようなボタンなどを表示します。
- ブラウザーに過剰な CPU 負荷を加えずに十分な量の余分な CPU 負荷を導入する レンダリング リソースを消費するように設計された新しいコンテンツを提供することによって。
- あなたのクリックが届くことを願っています 終わるのに十分遅いだけです 潜在的なセキュリティリスク 偽のコンテンツの代わりにページが表示されますが、最初に警告ページがポップアップ表示されるのを見ないうちにすぐに表示されます。
私たちは皆、別の状況でこのようなことを誤って行ったことがあるでしょう。たとえば、今この瞬間に重要な音声通話に応答したいことを確認する場合など、押したいボタンにマウス カーソルを移動したことがあります。
…その後、目を離すべきでないときに目をそらし、更新プログラムを適用するために即時かつ長時間の再起動を承認するなど、私たちが気づかなかった他の緊急ダイアログがポップアップしていたまさにその場所を誤ってクリックしてしまいました。
適切なタイミングで…
CVE-2023-34414 の場合、攻撃者はごまかしのタイミングを調整して、注意をそらさなかった場合や、注意深く見ずにクリックしなかった場合でもだまされる可能性があります。
悪意のあるページが、証明書エラーのあるサイトに移動する直前にユーザーが正確な位置をクリックするように誘導し、同時にレンダラーを極度にビジー状態にした場合、エラー ページが読み込まれたときと実際に表示が更新されるときとの間にギャップが生じる可能性があります。 。
適切なタイミングで、誘発されたクリックがそのギャップに到達し、そのサイトの証明書エラーを無効にするボタンをアクティブにする可能性があります。
Mozilla は、タイミングをより慎重に制御することでこのバグを修正し (上で述べた修正の後者の意味で!)、Firefox の正しいアクティベーション遅延を確保したと述べています。 「人間の応答時間の遅れを悪用した攻撃からプロンプトと許可ダイアログを保護するために使用します。」
言い換えれば、以前の無害に見えるページからのクリックが遅延したり、入力を受け入れる前に真の注意を必要とする非常に重要なセキュリティ ダイアログがアクティブになるほど長時間放置されたりすることがなくなりました。
何をするか?
- Firefox ユーザーの場合は、 に向かう Firefoxについて メニュー オプションをクリックして、お使いのバージョンを確認してください。 ブラウザがまだ自動的に更新されていない場合は、最新バージョンをすぐに取得するかどうかを尋ねるメッセージが表示されます。 最終的には次のようになります。 114.0 Firefox の通常のフレーバーを使用している場合はそれ以降、または ESR102.12 延長サポート リリースを使用している場合 (ESR には必要なセキュリティ修正がすべて含まれていますが、誤って新しいバグが追加された場合に備えて、新機能の追加が遅れます)。
- プログラマーなら、 近い将来表示される可能性のあるポップアップを予期しなかった(または予期できなかった)ユーザーによって以前にバッファリングされたマウスクリックやキーストロークによって重要な決定が引き起こされないよう、ユーザーインターフェイスを設計および調整するようにしてください。しかしまだ現れていませんでした。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- EVMファイナンス。 分散型金融のための統一インターフェイス。 こちらからアクセスしてください。
- クォンタムメディアグループ。 IR/PR増幅。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 データ インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- 情報源: https://nakedsecurity.sophos.com/2023/06/07/firefox-114-is-out-no-0-days-but-one-fascinating-teachable-moment-bug/