Malafide sites kunnen Firefox laten vastlopen via pop-upkwetsbaarheid

Firefox heeft een kwetsbaarheid waardoor malafide websites gebruikers kunnen bestoken met een niet-aflatende stroom authenticatiepop-ups. Sites maken hier misbruik van door gebruikers ertoe over te halen om te bellen met een helpdesk waarachter oplichters schuilgaan.

De kwetsbaarheid is oorsponkelijk drie maanden geleden gemeld bij Mozilla en tegen Ars Technica kon Mozilla ook niet direct zeggen wanneer een fix voor het probleem te verwachten is. Ars heeft ook een link naar een site die de kwetsbaarheid uitbuit. Volgens de onderzoeker die de kwetsbaarheid onder de aandacht van Ars bracht, heeft Firefox nog een soortgelijke kwetsbaarheid die twee jaar na de eerste melding nog niet weggewerkt is. Die lijkt echter momenteel niet actief uitgebuit te worden.

Behalve met authenticatiepop-ups worden gebruikers ook belaagd met downloaddialoogvensters en text-to-speech-output met de melding dat de computer gehackt is. Gebruikers worden gemaand om de 'helpdesk' te bellen. Wie het nummer belt, wordt hoogstwaarschijnlijk gevraagd om bankgegevens af te staan. Deze methode lijkt weinig kans van slagen te hebben bij technisch onderlegde gebruikers; niet bekend is op welke schaal de kwetsbaarheid misbruikt wordt.

Firefox exploit auth

Door Mark Hendrikman

Redacteur

Feedback • 05-11-2019 16:24 48

05-11-2019 • 16:24

48

Lees meer

Mozilla brengt noodpatch uit voor Firefox wegens lek dat actief wordt misbruikt
Mozilla brengt noodpatch uit voor Firefox wegens lek dat actief wordt misbruikt Nieuws van 8 januari 2020
Firefox 71 met Windows-ondersteuning voor picture-in-picture verschijnt
Firefox 71 met Windows-ondersteuning voor picture-in-picture verschijnt Nieuws van 4 december 2019
Mozilla verwijdert Firefox-extensies Avast en AVG van add-on-portal na klachten
Mozilla verwijdert Firefox-extensies Avast en AVG van add-on-portal na klachten Nieuws van 3 december 2019
Google dicht opnieuw zerodaykwetsbaarheid in Chrome die actief wordt misbruikt
Google dicht opnieuw zerodaykwetsbaarheid in Chrome die actief wordt misbruikt Nieuws van 1 november 2019
Mozilla beschermt Firefox-gebruikers tegen injectieaanvallen op about:-pagina's
Mozilla beschermt Firefox-gebruikers tegen injectieaanvallen op about:-pagina's Nieuws van 14 oktober 2019
LastPass dicht kwetsbaarheid in zijn browserplug-in
LastPass dicht kwetsbaarheid in zijn browserplug-in Nieuws van 16 september 2019
'Site met iPhone-hacks viel ook telefoons met Android en pc's met Windows aan'
'Site met iPhone-hacks viel ook telefoons met Android en pc's met Windows aan' Nieuws van 2 september 2019
Kwetsbaarheden in iOS werden jarenlang gebruikt om iPhones te bespioneren
Kwetsbaarheden in iOS werden jarenlang gebruikt om iPhones te bespioneren Nieuws van 30 augustus 2019
Oude kwetsbaarheid maakt jailbreak in iOS 12.4 mogelijk
Oude kwetsbaarheid maakt jailbreak in iOS 12.4 mogelijk Nieuws van 21 augustus 2019
Microsoft: bèta van Edge met Chromium-engine is geschikt voor dagelijks gebruik
Microsoft: bèta van Edge met Chromium-engine is geschikt voor dagelijks gebruik Nieuws van 20 augustus 2019
Mozilla dicht lek in wachtwoordmanager Firefox
Mozilla dicht lek in wachtwoordmanager Firefox Nieuws van 19 augustus 2019
Meer producten en artikelen
Browsers Mozilla Firefox

Reacties (48)

-Moderatie-faq
48
39
12
7
0
12
Wijzig sortering
Zombaya 5 november 2019 16:36
Het bugreport is afgesloten omdat dit een duplicaat is van een ander bugreport, waarnaar verwezen wordt.
Het is dus niet vreemd dat dit ticket afgesloten is.

Het ticket waarnaar verwezen wordt, wordt actief behandeld door een developer dus het is niet zo dat mozilla dit naast zich neer legt.
SunnieNL 5 november 2019 16:35
hij is niet opgelost.. hij is gesloten omdat het om een duplicate gaat van een bug die 3 maanden geleden al is aangemeld. En die staat nog open.
ajolla @codebeat7 november 2019 04:50
Iets zegt me dat het niets heeft geholpen. 8-)
codebeat @ajolla8 november 2019 20:24
Pfffffffffffffffffffffffffffffffffffffffffffff.....
timvisee 5 november 2019 16:28
Ik ben erg verbaasd dat dit als 'nieuws' wordt gezien, en al helemaal dat dit een 'kwetsbaarheid' genoemd wordt. Er zijn tal manieren om methodes om moderne browsers vast te laten lopen, maar verder doet dat niet zoveel.

En ondertussen verspreiden we een phishing campagne.

In plaats van dit zie ik graag beveiligings problemen die daadwerkelijk te misbruiken zijn.

[Reactie gewijzigd door timvisee op 23 juli 2024 15:09]

GertMenkel @timvisee5 november 2019 16:48
Cybersecurity wordt over het algemeen verdeeld in 3 onderdelen, de "CIA": vertrouwlijkheid (confidentiality), integriteit (integrity) en beschikbaarheid (availability). Hoewel vertrouwlijkheid en integriteit met dit probleem niet verstoord worden, wordt de beschikbaarheid van de browser wel beïnvloed. Om deze reden is bij alle browsers ook de alert() popup aangepast zodat je die niet in een lus kan aanroepen (of in ieder geval de melding kan verbergen voor de rest van je bezoek aan de pagina).

Als je een moderne browser tegenwoordig laat vastlopen, crasht er een tab of misschien zelfs een groep tabs. In dit geval wordt de hele browser onbruikbaar: daar zit een wezenlijk verschil tussen. Dingen die een browser laten vastlopen zijn overigens sowieso belangrijke bugs.

Een onsluitbare melding is iets dat daadwerkelijk de betrouwbaarheid van de browser kan beïnvloeden en vanwege het gebruik op scam-pagina's zou ik dit zelf ook zien als beveiliginsissue. Sowieso is de UI voor basic/proxy authenticatie in Firefox sterk achterhaald en dit toont maar weer aan wat voor impact zoiets kan hebben.
Verwijderd @timvisee5 november 2019 17:06
In plaats van dit zie ik graag beveiligings problemen die daadwerkelijk te misbruiken zijn.
Uit het artikel: "Sites maken hier misbruik van door gebruikers ertoe over te halen om te bellen met een helpdesk waarachter oplichters schuilgaan."
Verwijderd @timvisee5 november 2019 20:13
"Er zijn tal manieren om methodes om moderne browsers vast te laten lopen"

Oh ja, vertel? Graag een lijstje.
TheKingOfHoney 5 november 2019 16:27
Task Manager, Firefox taak beëindigen.

Of je kan het nummer bellen en John, Tim, Jake, of wie dan ook even bezig houden.
bigbadbull @TheKingOfHoney5 november 2019 17:07
esc
ctrl-W
vlug na elkaar.
bij de escape ontsnap je even aan de controle van de pop-up en de control-W geeft je controle terug door de actieve tab af te sluiten.
iets minder drastisch dan een task-man-kill.
De ctrl-w kan taal afhankelijk zijn.
Arcastin @bigbadbull6 november 2019 08:20
Denk dat de meesten hier zo'n oplossing wel kunnen bedenken. Ook een stukje veiliger/robuuster dan via de task manager FF afsluiten aangezien je iets van sessie herstellen aan kan hebben staan..
robvanwijk @TheKingOfHoney5 november 2019 19:54
Of je kan het nummer bellen en John, Tim, Jake, of wie dan ook even bezig houden.
Als de baas van John lief genoeg zou zijn om een gratis nummer te hebben: prima idee. Als ie echter zo'n leuk nummer heeft waarvoor je een paar dollar per minuut mag lappen (plus de gewone internationale belminuten), dan is het juist John zijn baan om jou zo lang mogelijk aan de lijn te houden... Als je allebei probeert het gesprek zo lang mogelijk te rekken, dan kan het een erg lang (en ontzettend duur!) verhaal worden.
Scriptkid @TheKingOfHoney5 november 2019 18:09
Idd geef ze lekker een vm en laat ze maar een paar uurtjes hobbien weet je meteen hoe ze te werk gaan.
SinergyX 5 november 2019 16:32
Dit was toch al lang mogelijk? Zolang het geen expliciet script was die door de browser herkent werd als loop (en dus automatisch stopte), kon je nonstop popups laten geven bij alles wat je zo'n beetje deed.
R4gnax
@SinergyX5 november 2019 19:25
Dit was toch al lang mogelijk? Zolang het geen expliciet script was die door de browser herkent werd als loop (en dus automatisch stopte), kon je nonstop popups laten geven bij alles wat je zo'n beetje deed.
En die zouden allemaal geblokkeerd worden door de ingebouwde popup-blocker als ze via code geopend worden die niet 'gestart' is vanuit een gebruikers-interactie zoals een click of touchstart event.

Ingebouwde prompt dialogs zoals window.alert of window.confirm werken daarnaast al tijden asynchroon en zijn 'tab-modal', waardoor ze het content-process van de tab blokkeren, maar niet de UI van de tab zelf, en je deze gewoon kunt sluiten.

HTTP Basic authentication dialoogvensters hebben ongelukkig genoeg deze wijziging gemist. En juist dat is Mozilla op het moment aan het rectificeren.

[Reactie gewijzigd door R4gnax op 23 juli 2024 15:09]

MrMonkE @R4gnax5 november 2019 23:14
Er is een reden waarom ik een popup blocker plugin heb geinstalleerd in firefox. Standaard zuigt het namelijk. Veel slechter dan chrome, waarvan ik ben overgestapt naar firefox. De popupblokker was een van de eerste dingen die ik geinstalleerd heb als plugin in firefox.
keranoz 5 november 2019 16:39
Ook in de op het moment van schrijven meest recente beta is deze bug nog aanwezig (71.0b6).

Wat wel werkt is het venster wegklikken en direct op ctrl+w drukken om het tabblad te sluiten, dan hoef je niet naar task manager.
ToolBee @keranoz5 november 2019 17:04
Dat lukt dus niet want alleen de popup krijgt focus. Je kunt niet meer bij je tabs of het "rode kruis".
Taalbeheer biedt redding.
Dit gebeurt al jaren op sites waarnaar doorverwezen wordt als je iets van een vaag downloadplatform wilt hebben, of een illegale russische sportstream wilt kijken. ;)
Tourmaline @ToolBee5 november 2019 17:32
CTRL-F4 sluit direct de applicatie af, ctrl-w ook.
Pendaco @ToolBee6 november 2019 10:19
Daarom zeg keranoz ook ctrl + w. En dat werkt prima om het betreffende tabblad met irritante pop-up te sluiten. Druk op Cancel of Annuleren in de pop-up en direct ctrl + w, tadaa.. tabblad dicht.
ToolBee @Pendaco6 november 2019 14:32
Dat werkte bij mij allemaal echt niet! :/
WORPspeed @keranoz5 november 2019 16:45
Kan niet geloven dat ik zo lang al op internet ben zonder ctrl+w te kennen

Thanks
Tourmaline @WORPspeed5 november 2019 17:31
Ctrl-F4 doet hetzelfde, sluit applicatie af. ;)
OxWax @WORPspeed5 november 2019 17:23
Foei !!
Uitprinten en boven je bed hangen ;)

https://turbofuture.com/computers/keyboard-shortcut-keys
qlum @OxWax5 november 2019 17:28
Er zijn zelfs nog genoeg mensen die niet weten dat je met een middel mouse click (scrollwiel) iets in een nieuw tab kan openen of een tab kan sluiten.
jimshatt @qlum6 november 2019 09:29
CTRL-click werkt ook, maar ik gebruik eigenlijk zo goed als altijd het context menu. Ook om dat ik dan kan bepalen of iets in een container tab geopend moet worden of niet.
bartje 5 november 2019 19:59
Off topic. Maar het zou tijd worden dat ze deze pop-up net als de alert onderdeel maken van de pagina. Nu locked de hele browser wat nogal lastig is. Dan is denk ik het genoemde probleem ook verholpen.
R4gnax
@bartje5 november 2019 22:35
Off topic. Maar het zou tijd worden dat ze deze pop-up net als de alert onderdeel maken van de pagina. Nu locked de hele browser wat nogal lastig is. Dan is denk ik het genoemde probleem ook verholpen.
Dat is dus ook precies wat ze nu aan het doen zijn. :)

Bug wordt getracked voor FF 70.0.2 voor zover ik kon zien, dus ik neem aan dat als er geen zwaarwegende blockers zullen zijn, de fix ook daarnaartoe ge-uplift zal worden en we er op het stable release kanaal dus ook snel over kunnen beschikken.

[Reactie gewijzigd door R4gnax op 23 juli 2024 15:09]

Lonnni 6 november 2019 00:58
Ik heb dit gedrag ook wel eens gezien in Edge
Meestal was het voldoende om de temp intermet files te legen.
ChAiNsAwII 6 november 2019 02:00
De enigste browser die je echt pop-up vrij kan maken is Chrome, mbv 3-4 popupblockers ben je op elke site af van die rotzooi ...
spellcoder 6 november 2019 11:13
Op zich is deze hele issue en wat in dit artikel beschreven wordt niet nieuw.
Er stonden al issues hierover open in 2010. Voordat de alert() tab-modal was (en dus de browser niet meer vast kon zetten) liep ik zelf perongeluk bij ontwikkeling er wel eens tegenaan dat een test alert() mijn browser vastzette. Toen kwam ik ook al tot de conclusie dat HTTP auth popup dit ook konden doen.

In de bugzilla.mozilla.org issue over alert() tab-modal werd in november 2010 al opgemerkt:
2) The only prompts this affects are the window.alert() / .confirm() / .prompt() calls triggered by pages. Things like HTTP Authentication, onbeforeunload messages, quit dialogs, etc are unchanged (ie, window-modal prompts). We'll look at fixing those later, probably after Firefox 4 to minimize risk.
Zie hier de comment
https://bugzilla.mozilla.org/show_bug.cgi?id=59314#c158

En in 2010 is de issue aangemaakt om ook de HTTP authentication dialog tab-modal te maken:
https://bugzilla.mozilla.org/show_bug.cgi?id=613785 (Switch to using tab-modal prompt dialogs for HTTP authentication)

[Reactie gewijzigd door spellcoder op 23 juli 2024 15:09]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq