Уязвимость обхода режима HTTPS-only в Firefox через игру с кликами для получения разрешения на исключение
Описание
Если злоумышленнику требовалось, чтобы пользователь загрузил незащищённую http: страницу, и он знал, что пользователь включил режим HTTPS-only, злоумышленник мог обманом заставить пользователя кликнуть для предоставления исключения из режима HTTPS-only, если удастся вовлечь пользователя в игру с кликами.
Затронутые версии ПО
- Firefox < 120
Тип уязвимости
Обход защиты
Ссылки
- Issue TrackingPermissions Required
- Release NotesVendor Advisory
- Issue TrackingPermissions Required
- Release NotesVendor Advisory
Уязвимые конфигурации
EPSS
6.5 Medium
CVSS3
Дефекты
Связанные уязвимости
If an attacker needed a user to load an insecure http: page and knew that user had enabled HTTPS-only mode, the attacker could have tricked the user into clicking to grant an HTTPS-only exception if they could get the user to participate in a clicking game. This vulnerability affects Firefox < 120.
If an attacker needed a user to load an insecure http: page and knew t ...
If an attacker needed a user to load an insecure http: page and knew that user had enabled HTTPS-only mode, the attacker could have tricked the user into clicking to grant an HTTPS-only exception if they could get the user to participate in a clicking game. This vulnerability affects Firefox < 120.
Уязвимость режима HTTPS-only Mode браузера Firefox, позволяющая нарушителю провести атаку типа clickjacking («захват клика»)
EPSS
6.5 Medium
CVSS3