Zephyrnet-logo

Generatieve data-intelligentie

Cyber ​​Security

Firefox 114 is uit: geen 0-dagen, maar een fascinerende "leermoment"-bug

Heruitgegeven door Plato
Heruitgegeven door Plato

Datum:

Aantal keer bekeken: 106
by Paul Ducklin

De laatste grote update van Firefox is uit, in navolging van Mozilla's gebruikelijke uitgavecyclus van elke vierde dinsdag.

De lijst met beveiligingsoplossingen deze maand (net als bij volle manen zijn er soms twee Firefox-releases in een kalendermaand, maar de meeste maanden hebben er maar één) is prachtig kort en er zijn geen kritieke bugs of zero-days in de lijst.

Maar er is een fascinerende bug die eraan herinnert dat het moeilijk is om responsieve, gebruiksvriendelijke browsercode te schrijven die ook sterk is tegen opzettelijk bedrog.

Die bug, aangewezen CVE-2023-34414, is beoordeeld Hoge, en wordt beschreven met de ietwat mysterieuze woorden: Uitzonderingen op clickjacking-certificaten door weergavevertraging.

Het jargon deconstrueren

Laten we het jargon in dit bugrapport deconstrueren.

Clickjacking, heel eenvoudig gezegd, is waar een aanvaller je naar een deel van het scherm lokt dat er veilig (of zelfs wenselijk) uitziet om op te klikken, en je verleidt om met je muis te klikken of met je vinger op de plek met X te tikken...

…alleen om uw klik naar een component in de webpagina te laten sturen waarop u zeker niet zou hebben geklikt als u maar had geweten waar uw klik echt naartoe ging.

Een malafide online advertentieverkoper kan bijvoorbeeld proberen klikbare advertenties samen te voegen met niet-gerelateerde afbeeldingen die er onschuldig uitzien [OK] knoppen, maar die de klik daadwerkelijk toestaan ​​om de advertentie te activeren, waardoor u meedoet aan advertentiefraude.

Een ander populair misbruik van clickjacking, toen het begin 2010 een groot ding was, was het plaatsen van een onzichtbare "Vind ik leuk"-knop op sociale media boven totaal niet-gerelateerde inhoud (wat zelfs nep zou kunnen zijn). [Cancel] knop waarop goed geïnformeerde gebruikers graag zouden willen klikken).

Op deze manier zou je uiteindelijk misleid kunnen worden om zelfs buitensporige inhoud te onderschrijven in de misvatting dat je het in plaats daarvan afwijst of weigert.

Gelukkig begonnen browsermakers dit soort clickjacking-verraad snel te detecteren en te vermijden, waardoor het steeds minder nuttig werd voor cybercriminelen.

De technische naam: herstelaanval op de gebruikersinterface verscheen een tijdje in het jargon. Maar de dubbelzinnigheid van het woord "verhaal", dat beide kan betekenen RE-jurk in de zin van opnieuw aankleden door nieuwe kleding aan te trekken en opnieuw aankleden in de zin van een fout goedmaken, maakte deze fraai klinkende uitdrukking moeilijk te begrijpen. Het woord clickjacking was niet alleen veel korter, maar ook veel duidelijker en cooler in gebruik, dus dat is het woord dat bleef hangen.

Certificaat uitzonderingen hebben betrekking op die waarschuwingen die uw browser u laat zien wanneer u een website bezoekt die misschien niet is wat het lijkt, zoals een server genaamd example.com die zich identificeert als unknown.invalid; een server met een webcertificaat dat al tijden niet is vernieuwd; of een certificaat dat niet is gegarandeerd door een bekende certificeringsinstantie.

Bijvoorbeeld als volgt:

En weergave vertraging is de vertraging tussen het moment waarop uw browser instructies ontvangt om nieuwe inhoud te presenteren en het moment waarop de benodigde HTML-, CSS-, grafische en JavaScript-verwerking is uitgevoerd om de inhoud gereed te hebben voor weergave.

Volgens Mozilla zou de CVE-2023-34414-bug kunnen worden geactiveerd door een aanvaller die de balans (of misschien bedoelen we de onbalans) precies goed (of fout) in de volgende volgorde:

  • Serveer inhoud als lokaas, met een knop of iets dergelijks waarop u waarschijnlijk zou willen klikken.
  • Introduceer net genoeg, maar niet te veel, extra CPU-belasting in de browser door nieuwe inhoud te leveren die is ontworpen om weergavebronnen op te eten.
  • Ik hoop dat je klik aankomt net laat genoeg om op de Potentieel veiligheidsrisico pagina in plaats van op de nep-inhoud, maar net snel genoeg om de waarschuwingspagina niet als eerste te zien verschijnen.

We hebben dit soort dingen allemaal per ongeluk gedaan in andere contexten: de muiscursor verplaatsen naar de knop die we wilden indrukken, bijvoorbeeld om te bevestigen dat we op dit moment een belangrijke inkomende spraakoproep wilden beantwoorden...

... dan wegkijken terwijl we dat niet hadden moeten doen, en per ongeluk klikken op de locatie waar een andere dringende dialoog was verschenen die we niet hadden opgemerkt, zoals het goedkeuren van een onmiddellijke en langdurige herstart om in plaats daarvan updates toe te passen.

Met de juiste timing…

In het geval van CVE-2023-34414 kan een aanvaller de timing van de uitvlucht zo orkestreren dat u voor de gek kunt worden gehouden, zelfs als u uw aandacht niet liet afdwalen en zelfs als u voorzichtig niet klikte zonder te kijken:

Als een kwaadwillende pagina een gebruiker uitlokt tot klikken op precieze locaties vlak voordat hij naar een site met een certificaatfout navigeert, en tegelijkertijd de renderer erg druk maakt, kan er een gat ontstaan ​​tussen het moment waarop de foutpagina werd geladen en het moment waarop de weergave daadwerkelijk wordt vernieuwd .

Met de juiste timing kunnen de uitgelokte klikken in dat gat terechtkomen en de knop activeren die de certificaatfout voor die site overschrijft.

Mozilla zegt dat het deze bug heeft hersteld (in de laatste betekenis van herstel die we hierboven gaven!) Door de timing nauwkeuriger te controleren, waardoor de juiste activeringsvertraging wordt gegarandeerd die Firefox "gebruikt om prompts en toestemmingsdialogen te beschermen tegen aanvallen die misbruik maken van menselijke reactietijdvertragingen."

Met andere woorden, klikken van een vorige, onschuldig ogende pagina worden niet langer vertraagd of blijven niet lang genoeg achter om een ​​uiterst belangrijk beveiligingsdialoogvenster te activeren dat oprechte aandacht vereist voordat uw invoer wordt geaccepteerd.

Wat te doen?

  • Als u een Firefox-gebruiker bent, ga naar de Over Firefox menu-optie om te controleren welke versie u heeft. Als uw browser nog niet automatisch is bijgewerkt, moet u worden gevraagd of u meteen de nieuwste versie wilt ophalen. Je zou moeten eindigen met 114.0 of later als u de reguliere versie van Firefox gebruikt, of ESR 102.12 als u de Extended Support Release gebruikt (de ESR bevat alle benodigde beveiligingsreparaties, maar vertraagt ​​de toevoeging van nieuwe functies, voor het geval een van deze onbedoeld nieuwe bugs toevoegt).
  • Als je een programmeur bent, probeer uw gebruikersinterface zo te ontwerpen en te reguleren dat kritieke beslissingen niet kunnen worden genomen door muisklikken of toetsaanslagen die eerder werden gebufferd door een gebruiker die niet (kon) anticiperen op pop-ups die in de nabije toekomst zouden kunnen verschijnen, maar was nog niet komen opdagen.
spot_img

Laatste intelligentie

spot_img

Copyright @ 2024 Plato Technologies Inc.