CRITICAL🇬🇧 English

CVE-2026-2634

Spoofing adresu URL w Firefox iOS — fałszywe domeny w pasku adresu

CVSS 9.8v3.1pub. 2026-02-24upd. 2026-04-13

Podatność w Firefox dla iOS umożliwia złośliwym skryptom desynchronizację paska adresu z rzeczywistą zawartością strony przed otrzymaniem odpowiedzi. W efekcie strony kontrolowane przez atakującego mogą być prezentowane użytkownikowi pod sfałszowaną nazwą domeny.

Pokaż oryginał (EN)

Malicious scripts could cause desynchronization between the address bar and web content before a response is received in Firefox iOS, allowing attacker-controlled pages to be presented under spoofed domains. This vulnerability was fixed in Firefox for iOS 147.4.

🤖 Analiza AI
Jak działa

Złośliwy skrypt może wywołać stan desynchronizacji pomiędzy paskiem adresu przeglądarki a ładowaną treścią webową w momencie, gdy odpowiedź serwera nie została jeszcze odebrana. Pozwala to atakującemu na wyświetlenie własnej, kontrolowanej strony przy jednoczesnym pokazaniu w pasku adresu zaufanej, fałszywej domeny. Mechanizm ten wpisuje się w kategorię CWE-451, czyli błędów polegających na wprowadzeniu użytkownika w błąd co do źródła prezentowanych informacji.

Skutki

Atakujący może skutecznie podszyć się pod zaufane serwisy internetowe (np. banki, portale logowania), wyłudzając dane uwierzytelniające lub inne wrażliwe informacje od użytkowników, którzy nie są w stanie odróżnić fałszywej strony od prawdziwej na podstawie paska adresu.

Mitygacja

Należy zaktualizować Firefox dla iOS do wersji 147.4 lub nowszej, w której podatność została naprawiona. Aktualizacja dostępna jest za pośrednictwem Apple App Store.

Kogo dotyczy

Mozilla Firefox dla iOS w wersjach poprzedzających 147.4

Uwagi

Podatność dotyczy wyłącznie wersji Firefox przeznaczonej na platformę iOS — nie odnosi się do wersji desktopowej ani wersji Android. Poprawka opisana w Mozilla Foundation Security Advisory MFSA2026-12.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Mozilla Firefox

    APP
    Mozilla
    < 147.4
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-9680CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Use-after-free w Animation timelines Firefox/Thunderbird — RCE

CVE-2022-26486CRITICAL9.6⚠ KEVten sam produkt

An unexpected message in the WebGPU IPC framework could lead to a use-after-free and exploitable sandbox escap...

CVE-2019-11708CRITICAL10.0⚠ KEVten sam produkt

Insufficient vetting of parameters passed with the Prompt:Open IPC message between child and parent processes ...

CVE-2010-3765CRITICAL9.8⚠ KEVten sam produkt

Mozilla Firefox 3.5.x through 3.5.14 and 3.6.x through 3.6.11, Thunderbird 3.1.6 before 3.1.6 and 3.0.x before...

CVE-2026-14241CRITICAL9.8ten sam produkt

Memory safety bugs present in Firefox 152.0.3. Some of these bugs showed evidence of memory corruption and we ...