Archive for avril 2017

icon_firefox[CVE-2017-5451] Addressbar spoofing with onblur event


Addressbar spoofing with onblur event

https://www.mozilla.org/en-US/security/advisories/mfsa2017-10/#CVE-2017-5451


Announced: April 19, 2017
Reporter: Jordi Chancel
Impact: Moderate
Products: Firefox
Fixed in: Firefox 53


  • Description :

Security researcher Jordi Chancel reported a mechanism to spoof the addressbar through the user interaction on the addressbar and the onblur event. The event could be used by script to affect text display to make the loaded site appear to be different from the one actually loaded within the addressbar.


  • Explication :

1. Le fait de cliquer sur la barre d’adresse de Mozilla Firefox permet la sélection instantanée de l’adresse URL contenue dans celle-ci.

2. Lors d’un test utilisant cette interaction utilisateur, il apparait que si le clique dans la barre d’adresse est effectué en coordination avec l’événement onblur dont celui-ci détermine qu’en cas de clique extérieur a la page Web celui-ci augmentera la taille de l’adresse URL, cette action va alors permettre la disparition de la visibilité du nom de domaine correspondant à la page web qui devrait normalement toujours se trouver visible au début de la barre d’adresse et va au contraire être placer de telle façon à ce que la fin de l’adresse URL va se trouver visible et prendre la place de la réelle adresse URL de la page Web contenant la Preuve de Concept (menant ainsi au Spoofing d’adresse URL et d’indicateur SSL désiré).

  • Exemple :
1. https://yyy.com/poc.html (Type d’adresse URL avant le clique dans la Barre d’Adresse de Firefox)

2. Clique de l’utilisateur dans la Barre d’Adresse de Firefox

3. https://yyy.com/poc.html######https://www.google.com (Nouveau Schéma de l’adresse URL après le clique dans la Barre d’Adresse de Firefox)

4. https://www.google.com (Adresse URL falsifiée désormais visible dans la Barre d’Adresse de Firefox)

  • Concept en Image :





Démonstration vidéo de la vulnérabilité:


icon_firefox[CVE-2017-5452] Addressbar spoofing during scrolling with editable content on Firefox for Android


Addressbar spoofing during scrolling with editable content on Firefox for Android

https://www.mozilla.org/en-US/security/advisories/mfsa2017-10/#CVE-2017-5452


Announced: April 19, 2017
Reporter: Jordi Chancel
Impact: Low
Products: Firefox
Fixed in: Firefox 53


  • Description :

Malicious sites can display a spoofed addressbar on a page when the existing location bar on the new page is scrolled out of view if an HTML editable page element is user selected.


Note: This attack only affects Firefox for Android. Other operating systems are not affected.


Vulnerability demonstration (video):