Los equipos de seguridad de Mozilla anunciaron la corrección de un problema de seguridad en Firefox cuya explotación habría permitido a los actores de amenazas falsificar sitios web legítimos a través de un modo de “pantalla completa” ejecutado sigilosamente. Identificada como CVE-2022-22746, la falla reside en las versiones de Firefox para Windows y es descrita como un error de condición de carrera que permitiría evadir por completo la advertencia de pantalla completa en el navegador.
Según el reporte, la explotación exitosa de esta falla permitiría a los actores de amenazas engañar a los usuarios afectados para que hagan clic en enlaces maliciosos, descarguen archivos de malware o bien ingresen su información personal y financiera en sitios web de dudosa reputación.
Si los hackers logran completar el ataque, pueden sustituir la barra de direcciones URL de un sitio web legítimo, además de manipular a su antojo otros indicadores de confianza buscados usualmente por los usuarios. En casos más severos, los actores de amenazas incluso podrían modificar el ícono del candado SSL, por lo que la víctima podría visitar un sitio web sin protección HTTPS.
La falla fue descubierta por el investigador Irvan Kurniawan, quien menciona que este es un error de alta severidad. La más reciente versión de Firefox para Windows ya contiene una actualización, además de otras correcciones para los errores detectados más reciente en el navegador web de Mozilla.
Además de otras dos variaciones de este ataque, las actualizaciones incluyen una solución para CVE-2021-4140, una vulnerabilidad de evasión de iframe sandbox con XSLT, entre otros errores.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
El cargo Vulnerabilidad en Mozilla Firefox permite a los hackers usar el modo “Pantalla Completa” para falsificar sitios web y lanzar ataques de phishing; actualice ahora apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.
Ver Fuente
No hay comentarios.:
Publicar un comentario