Mozilla ha corregido un problema de seguridad en Firefox que podría haber permitido a un atacante falsificar sitios web legítimos a través de un modo de "pantalla completa" ejecutado de forma sigilosa.
La vulnerabilidad (CVE-2022-22746), que estaba presente en las versiones de Windows de Firefox, es un fallo de condición de carrera que podría dar lugar a que se saltara el aviso de notificación de pantalla completa del navegador.
Esto podría permitir a un atacante engañar a un usuario para que haga clic en enlaces o introduzca datos sensibles en un sitio web falso, entre otras actividades maliciosas.
Al controlar una ventana del navegador a pantalla completa sin que el usuario lo sepa, el atacante puede falsificar la barra de direcciones URL de un sitio genuino, algo que normalmente controla el navegador, junto con otros indicadores de confianza "por encima de la línea".
El atacante podría ir más allá y no sólo servir lo que parece ser el dominio adecuado, sino también el icono del candado SSL utilizado para asegurar a los usuarios de la web que el sitio está protegido por HTTPS.
Un blog del investigador Feross Aboukhadijeh demuestra cómo funcionan los ataques a pantalla completa con un exploit similar, aunque mucho más antiguo, de prueba de concepto.
La vulnerabilidad, marcada como de alta gravedad, fue descubierta por el investigador Irvan Kurniawan y corregida en Firefox 96 para Windows, como parte de la primera versión de seguridad del navegador de 2022.
Un aviso de seguridad de Mozilla del 11 de enero enumera una serie de otros errores de seguridad que ya han sido parcheados en Firefox.
Además de otras dos variantes del ataque de Kurniawan, la versión incluye una corrección para CVE-2021-4140, una evasión de sandbox de iframe con XSLT, entre otros fallos.