Уязвимость обхода защиты от кликджекинга через совпадение времени исчезновения всплывающего окна и задержки на запросах разрешений в Firefox
Описание
Время исчезновения всплывающего окна при нажатии кнопки примерно совпадает с длительностью задержки защиты от кликджекинга на запросах разрешений. Злоумышленник мог использовать этот факт для обмана пользователей, заманивая их кликнуть в область, где вскоре появится кнопка предоставления разрешения.
Затронутые версии ПО
- Firefox ESR < 115.6
- Firefox < 121
Тип уязвимости
Обход защиты от кликджекинга (Clickjacking)
Ссылки
- Issue TrackingPermissions Required
- Mailing ListThird Party Advisory
- Third Party Advisory
- Third Party Advisory
- Vendor Advisory
- Vendor Advisory
- Issue TrackingPermissions Required
- Mailing ListThird Party Advisory
- Third Party Advisory
- Third Party Advisory
- Vendor Advisory
- Vendor Advisory
Уязвимые конфигурации
Одно из
Одно из
EPSS
6.1 Medium
CVSS3
Дефекты
Связанные уязвимости
The timing of a button click causing a popup to disappear was approximately the same length as the anti-clickjacking delay on permission prompts. It was possible to use this fact to surprise users by luring them to click where the permission grant button would be about to appear. This vulnerability affects Firefox ESR < 115.6 and Firefox < 121.
The timing of a button click causing a popup to disappear was approximately the same length as the anti-clickjacking delay on permission prompts. It was possible to use this fact to surprise users by luring them to click where the permission grant button would be about to appear. This vulnerability affects Firefox ESR < 115.6 and Firefox < 121.
The timing of a button click causing a popup to disappear was approxim ...
The timing of a button click causing a popup to disappear was approximately the same length as the anti-clickjacking delay on permission prompts. It was possible to use this fact to surprise users by luring them to click where the permission grant button would be about to appear. This vulnerability affects Firefox ESR < 115.6 and Firefox < 121.
Уязвимость браузеров Firefox, Firefox ESR, связанная с ошибками представления информации пользовательским интерфейсом, позволяющая нарушителю провести атаку типа clickjacking («захват клика»)
EPSS
6.1 Medium
CVSS3