icon_firefox[CVE-2017-5451] Addressbar spoofing with onblur event


Addressbar spoofing with onblur event

https://www.mozilla.org/en-US/security/advisories/mfsa2017-10/#CVE-2017-5451


Announced: April 19, 2017
Reporter: Jordi Chancel
Impact: Moderate
Products: Firefox
Fixed in: Firefox 53


  • Description :

Security researcher Jordi Chancel reported a mechanism to spoof the addressbar through the user interaction on the addressbar and the onblur event. The event could be used by script to affect text display to make the loaded site appear to be different from the one actually loaded within the addressbar.


  • Explication :

1. Le fait de cliquer sur la barre d’adresse de Mozilla Firefox permet la sélection instantanée de l’adresse URL contenue dans celle-ci.

2. Lors d’un test utilisant cette interaction utilisateur, il apparait que si le clique dans la barre d’adresse est effectué en coordination avec l’événement onblur dont celui-ci détermine qu’en cas de clique extérieur a la page Web celui-ci augmentera la taille de l’adresse URL, cette action va alors permettre la disparition de la visibilité du nom de domaine correspondant à la page web qui devrait normalement toujours se trouver visible au début de la barre d’adresse et va au contraire être placer de telle façon à ce que la fin de l’adresse URL va se trouver visible et prendre la place de la réelle adresse URL de la page Web contenant la Preuve de Concept (menant ainsi au Spoofing d’adresse URL et d’indicateur SSL désiré).

  • Exemple :
1. https://yyy.com/poc.html (Type d’adresse URL avant le clique dans la Barre d’Adresse de Firefox)

2. Clique de l’utilisateur dans la Barre d’Adresse de Firefox

3. https://yyy.com/poc.html######https://www.google.com (Nouveau Schéma de l’adresse URL après le clique dans la Barre d’Adresse de Firefox)

4. https://www.google.com (Adresse URL falsifiée désormais visible dans la Barre d’Adresse de Firefox)

  • Concept en Image :





Démonstration vidéo de la vulnérabilité:


Comments are closed.