Logo Zephyrnet

Trí thông minh dữ liệu tạo

An ninh mạng

Firefox 114 đã ra mắt: Không có 0 ngày, nhưng có một lỗi hấp dẫn “thời điểm có thể dạy được”

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 106
by Paul Ducklin

Bản cập nhật lớn mới nhất của Firefox đã ra mắt, theo chu kỳ phát hành thứ Ba hàng tuần của Mozilla.

Sản phẩm danh sách sửa lỗi bảo mật tháng này (giống như trăng tròn, đôi khi có hai bản phát hành Firefox trong một tháng dương lịch, nhưng hầu hết các tháng chỉ có một bản phát hành) cực kỳ ngắn và không có bất kỳ lỗi nghiêm trọng nào hoặc không có ngày nào trong danh sách.

Nhưng có một lỗi hấp dẫn hoạt động như một lời nhắc nhở rằng thật khó để viết mã trình duyệt đáp ứng, thân thiện với người dùng và cũng rất mạnh để chống lại thủ đoạn gian lận có chủ ý.

Lỗi đó, được chỉ định CVE-2023-34414, Được đánh giá Cao, và được mô tả bằng những từ có phần bí ẩn: Ngoại lệ chứng chỉ clickjacking thông qua độ trễ kết xuất.

Giải cấu trúc biệt ngữ

Hãy giải mã thuật ngữ trong báo cáo lỗi này.

Nhấp chuột, nói một cách đơn giản, là nơi kẻ tấn công dụ bạn đến một phần của màn hình có vẻ an toàn (hoặc thậm chí là mong muốn) để nhấp vào và lừa bạn nhấp chuột hoặc chạm ngón tay vào vị trí được đánh dấu X…

…chỉ để nhấp chuột của bạn được gửi đến một thành phần trong trang web mà bạn chắc chắn sẽ không nhấp vào nếu bạn biết nhấp chuột của mình thực sự đến đâu.

Ví dụ: một người bán quảng cáo trực tuyến lừa đảo có thể thử kết hợp các quảng cáo có thể nhấp với các hình ảnh không liên quan trông có vẻ vô hại [OK] nhưng điều đó thực sự cho phép nhấp chuột để kích hoạt quảng cáo, do đó đồng ý đưa bạn vào hành vi gian lận quảng cáo.

Một cách lạm dụng clickjacking phổ biến khác, khi nó còn phổ biến vào đầu những năm 2010, là di chuột qua nút “Thích” trên phương tiện truyền thông xã hội vô hình trên một số nội dung hoàn toàn không liên quan (thậm chí có thể là nội dung giả mạo). [Cancel] nút mà người dùng có đầy đủ thông tin sẽ muốn nhấp vào).

Bằng cách này, cuối cùng bạn có thể bị lừa xác nhận nội dung thậm chí là xúc phạm do hiểu nhầm rằng thay vào đó bạn đang từ chối hoặc từ chối nội dung đó.

May mắn thay, các nhà sản xuất trình duyệt đã nhanh chóng bắt đầu phát hiện và tránh loại thủ đoạn clickjacking phản bội này, khiến nó ngày càng trở nên ít hữu ích hơn đối với tội phạm mạng.

tên kỹ thuật tấn công khắc phục giao diện người dùng xuất hiện trong thuật ngữ trong một thời gian. Nhưng sự mơ hồ của từ "khắc phục", có thể có nghĩa là cả hai mặc lại theo nghĩa của mặc lại bằng cách mặc quần áo mớimặc lại theo nghĩa của đặt đúng sai, khiến biểu cảm nghe có vẻ lạ mắt này trở nên khó hiểu. từ clickjacking không chỉ ngắn hơn nhiều mà còn rõ ràng và thú vị hơn nhiều để sử dụng, vì vậy đó là từ bị mắc kẹt.

ngoại lệ chứng chỉ liên quan đến những cảnh báo mà trình duyệt của bạn hiển thị cho bạn khi bạn truy cập một trang web có thể không giống như những gì bạn tưởng, chẳng hạn như một máy chủ có tên example.com tự nhận mình là unknown.invalid; một máy chủ có chứng chỉ web chưa được gia hạn từ lâu; hoặc chứng chỉ chưa được xác nhận bởi cơ quan cấp chứng chỉ đã biết.

Ví dụ, như thế này:

độ trễ kết xuất là độ trễ giữa thời điểm trình duyệt của bạn nhận được hướng dẫn trình bày nội dung mới và thời điểm trình duyệt thực hiện xong quá trình xử lý HTML, CSS, đồ họa và JavaScript cần thiết để nội dung sẵn sàng hiển thị.

Theo Mozilla, lỗi CVE-2023-34414 có thể được kích hoạt bởi kẻ tấn công đã lấy được số dư (hoặc có lẽ chúng tôi muốn nói đến sự mất cân bằng) đúng (hoặc sai) theo trình tự sau:

  • Phục vụ nội dung như một sự thu hút, hiển thị một nút hoặc thứ gì đó thuộc loại mà bạn có thể muốn nhấp vào.
  • Giới thiệu vừa đủ, nhưng không quá nhiều, tải thêm CPU trên trình duyệt bằng cách cung cấp nội dung mới được thiết kế để ngốn tài nguyên kết xuất.
  • Hy vọng rằng nhấp chuột của bạn đến chỉ đủ muộn để kết thúc trên Rủi ro bảo mật tiềm ẩn thay vì trên nội dung giả mạo, nhưng chỉ đủ sớm để bạn không nhìn thấy trang cảnh báo bật lên đầu tiên.

Tất cả chúng ta đều đã làm điều này do nhầm lẫn trong các ngữ cảnh khác: di chuyển con trỏ chuột đến nút mà chúng ta muốn nhấn, chẳng hạn như xác nhận rằng chúng ta muốn trả lời một cuộc gọi thoại quan trọng ngay lúc này…

…sau đó nhìn đi chỗ khác khi chúng tôi không nên làm và vô tình nhấp vào chính vị trí mà một số hộp thoại khẩn cấp khác đã bật lên mà chúng tôi không nhận thấy, chẳng hạn như phê duyệt khởi động lại ngay lập tức và kéo dài để áp dụng các bản cập nhật thay thế.

Với thời điểm thích hợp…

Trong trường hợp CVE-2023-34414, kẻ tấn công có thể sắp xếp thời gian của thủ đoạn ngầm để bạn có thể bị lừa ngay cả khi bạn không để ý và ngay cả khi bạn không cẩn thận nhấp mà không nhìn:

Nếu một trang độc hại khiến người dùng nhấp vào các vị trí chính xác ngay lập tức trước khi điều hướng đến một trang web có lỗi chứng chỉ và đồng thời khiến trình kết xuất cực kỳ bận rộn, thì điều đó có thể tạo ra khoảng cách giữa thời điểm tải trang lỗi và khi màn hình thực sự được làm mới .

Với thời điểm thích hợp, các nhấp chuột được tạo ra có thể rơi vào khoảng trống đó và kích hoạt nút ghi đè lỗi chứng chỉ cho trang web đó.

Mozilla cho biết họ đã khắc phục lỗi này (theo nghĩa khắc phục sau mà chúng tôi đã nêu ở trên!) bằng cách kiểm soát thời gian cẩn thận hơn, do đó đảm bảo độ trễ kích hoạt chính xác mà Firefox “sử dụng để bảo vệ lời nhắc và hộp thoại cấp phép khỏi các cuộc tấn công khai thác sự chậm trễ về thời gian phản hồi của con người.”

Nói cách khác, các lần nhấp từ một trang trước đó, trông có vẻ ngây thơ không còn bị trì hoãn hoặc bị bỏ lại đủ lâu để kích hoạt hộp thoại bảo mật cực kỳ quan trọng cần được chú ý thực sự trước khi chấp nhận thông tin đầu vào của bạn.

Phải làm gì?

  • Nếu bạn là người dùng Firefox, đi đến Về Firefox tùy chọn menu để kiểm tra xem bạn có phiên bản nào. Nếu trình duyệt của bạn chưa được cập nhật tự động, bạn sẽ được hỏi có muốn tải phiên bản mới nhất ngay không. Bạn nên kết thúc với 114.0 hoặc mới hơn nếu bạn đang sử dụng phiên bản thông thường của Firefox, hoặc ESR 102.12 nếu bạn đang sử dụng Bản phát hành hỗ trợ mở rộng (ESR bao gồm tất cả các bản sửa lỗi bảo mật cần thiết, nhưng trì hoãn việc bổ sung các tính năng mới, trong trường hợp bất kỳ tính năng nào trong số chúng vô tình thêm lỗi mới).
  • Nếu bạn là một lập trình viên, cố gắng thiết kế và điều chỉnh giao diện người dùng của bạn để các quyết định quan trọng không thể được kích hoạt bằng cách nhấp chuột hoặc tổ hợp phím đã được đệm trước đó bởi người dùng không (hoặc không thể) dự đoán cửa sổ bật lên có thể xuất hiện trong tương lai gần, nhưng vẫn chưa xuất hiện.
tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.