Firefox voor Android kwetsbaar voor aanval met malafide qr-code
Mozilla waarschuwt gebruikers van Firefox voor Android voor een kwetsbaarheid waardoor aanvallen met malafide qr-codes mogelijk zijn. Een beveiligingsupdate is echter beschikbaar. Het beveiligingslek doet zich voor bij het verwerken van een url afkomstig van een gescande qr-code. Hierdoor is universal cross-site scripting mogelijk.
In tegenstelling tot normale cross-site scripting, waarbij er misbruik wordt gemaakt van kwetsbare webapplicaties, maakt universal cross-site scripting misbruik van kwetsbaarheden binnen de browser. Hierdoor is het mogelijk om het gedrag van de browser aan te passen en bijvoorbeeld beveiligingsfeatures te omzeilen of uit te schakelen.
Een aanvaller kan op deze manier niet alleen toegang tot een gecompromitteerde sessie van een kwetsbare webpagina krijgen, maar tot sessies van alle websites die op dat moment zijn geopend. In sommige gevallen kan universal cross-site scripting worden gebruikt om uiteindelijk, bijvoorbeeld in combinatie met andere kwetsbaarheden, remote code execution mogelijk te maken.
Mozilla heeft de impact van de kwetsbaarheid als 'high' beoordeeld. Het gaat dan om beveiligingslekken waarmee gevoelige data van websites in andere vensters is te stelen of data en code in die sites is te injecteren, waarbij alleen het bezoeken van een malafide of gecompromitteerde website voldoende is. Door middel van het injecteren van code is het mogelijk om phishingaanvallen op geopende websites uit te voeren, die lastiger voor gebruikers zijn te detecteren. Gebruikers van Firefox voor Android wordt aangeraden te updaten naar Firefox 94.
Of zit er in Firefox zelf een feature om een QR code te scannen en gaat het mis bij het omzetten in een link.
(Om de details van deze bug te lezen heb je een account nodig)
Of zit er in Firefox zelf een feature om een QR code te scannen en gaat het mis bij het omzetten in een link.
(Om de details van deze bug te lezen heb je een account nodig)
"resulting from improper sanitization when processing a URL scanned from a QR code."
Dus bij het verwerken van een URL afkomstig van een QR code
Dat deel was duidelijk. Maar QR codes scan ik altijd in met een apart programma, die er een link van maakt. Als die link fouten bevat, had je die fouten ook in een klikbare link kunnen stoppen. Dus ik snap niet waarom het juist fout gaat met zo'n QR code.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.