Firefox voor Android kwetsbaar voor aanval met malafide qr-code
Mozilla waarschuwt gebruikers van Firefox voor Android voor een kwetsbaarheid waardoor aanvallen met malafide qr-codes mogelijk zijn. Een beveiligingsupdate is echter beschikbaar. Het beveiligingslek doet zich voor bij het verwerken van een url afkomstig van een gescande qr-code. Hierdoor is universal cross-site scripting mogelijk.
In tegenstelling tot normale cross-site scripting, waarbij er misbruik wordt gemaakt van kwetsbare webapplicaties, maakt universal cross-site scripting misbruik van kwetsbaarheden binnen de browser. Hierdoor is het mogelijk om het gedrag van de browser aan te passen en bijvoorbeeld beveiligingsfeatures te omzeilen of uit te schakelen.
Een aanvaller kan op deze manier niet alleen toegang tot een gecompromitteerde sessie van een kwetsbare webpagina krijgen, maar tot sessies van alle websites die op dat moment zijn geopend. In sommige gevallen kan universal cross-site scripting worden gebruikt om uiteindelijk, bijvoorbeeld in combinatie met andere kwetsbaarheden, remote code execution mogelijk te maken.
Mozilla heeft de impact van de kwetsbaarheid als 'high' beoordeeld. Het gaat dan om beveiligingslekken waarmee gevoelige data van websites in andere vensters is te stelen of data en code in die sites is te injecteren, waarbij alleen het bezoeken van een malafide of gecompromitteerde website voldoende is. Door middel van het injecteren van code is het mogelijk om phishingaanvallen op geopende websites uit te voeren, die lastiger voor gebruikers zijn te detecteren. Gebruikers van Firefox voor Android wordt aangeraden te updaten naar Firefox 94.
Of zit er in Firefox zelf een feature om een QR code te scannen en gaat het mis bij het omzetten in een link.
(Om de details van deze bug te lezen heb je een account nodig)
Of zit er in Firefox zelf een feature om een QR code te scannen en gaat het mis bij het omzetten in een link.
(Om de details van deze bug te lezen heb je een account nodig)
"resulting from improper sanitization when processing a URL scanned from a QR code."
Dus bij het verwerken van een URL afkomstig van een QR code
Dat deel was duidelijk. Maar QR codes scan ik altijd in met een apart programma, die er een link van maakt. Als die link fouten bevat, had je die fouten ook in een klikbare link kunnen stoppen. Dus ik snap niet waarom het juist fout gaat met zo'n QR code.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?