ಫೈರ್ಫಾಕ್ಸ್ನಲ್ಲಿ Android ಗಂಭೀರ ಶಿಷ್ಟಾಚಾರದ ಅನುಷ್ಠಾನದಲ್ಲಿ ಸ್ಥಳೀಯ ನೆಟ್ವರ್ಕ್ನಲ್ಲಿ ನೆಟ್ವರ್ಕ್ ಸೇವೆಗಳನ್ನು ಕಂಡುಹಿಡಿಯಲು ಬಳಸಲಾಗುತ್ತದೆ. ದುರ್ಬಲತೆಯು ಅದೇ ಸ್ಥಳೀಯ ಅಥವಾ ವೈರ್ಲೆಸ್ ನೆಟ್ವರ್ಕ್ನಲ್ಲಿರುವ ದಾಳಿಕೋರರಿಗೆ ಫೈರ್ಫಾಕ್ಸ್ನ ಪ್ರೋಬ್ ವಿನಂತಿಗಳಿಗೆ UPnP XML "LOCATION" ಸಂದೇಶದೊಂದಿಗೆ ಪ್ರತಿಕ್ರಿಯಿಸಲು ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ. , ಇದರೊಂದಿಗೆ ನೀವು ಬ್ರೌಸರ್ನಲ್ಲಿ ಅನಿಯಂತ್ರಿತ URI ಅನ್ನು ತೆರೆಯಬಹುದು ಅಥವಾ ಇತರ ಅಪ್ಲಿಕೇಶನ್ಗಳಿಂದ ಹ್ಯಾಂಡ್ಲರ್ಗಳನ್ನು ಕರೆಯಬಹುದು.
ಬಿಡುಗಡೆಯವರೆಗೂ ಸಮಸ್ಯೆ ಮುಂದುವರಿಯುತ್ತದೆ. и устранена в версии Firefox для Android 79, т.е. старые классические выпуски Firefox для Android уязвимы и для блокирования проблемы требуется переход на ಬ್ರೌಸರ್ (ಫೆನಿಕ್ಸ್), ಇದು ಫೈರ್ಫಾಕ್ಸ್ ಕ್ವಾಂಟಮ್ ತಂತ್ರಜ್ಞಾನಗಳ ಮೇಲೆ ನಿರ್ಮಿಸಲಾದ ಗೆಕ್ಕೊವ್ಯೂ ಎಂಜಿನ್ ಮತ್ತು ಲೈಬ್ರರಿಗಳ ಗುಂಪನ್ನು ಬಳಸುತ್ತದೆ. . ಫೈರ್ಫಾಕ್ಸ್ನ ಡೆಸ್ಕ್ಟಾಪ್ ಆವೃತ್ತಿಗಳು ಈ ಸಮಸ್ಯೆಯಿಂದ ಪ್ರಭಾವಿತವಾಗುವುದಿಲ್ಲ.
ದುರ್ಬಲತೆ ಪರೀಕ್ಷೆಗಾಗಿ рабочий прототип эксплоита. Атака осуществляется без каких-либо действий со стороны пользователя, достаточно чтобы на мобильном устройстве был запущен уязвимый браузер Firefox для Android и чтобы жертва находилась в одной подсети с SSDP-сервером атакующего.
ಫೈರ್ಫಾಕ್ಸ್ಗಾಗಿ Android периодически в широковещательном режиме (multicast UDP) отправляет SSDP-сообщения для определения присутствующих в локальной сети устройств вещания, таких как мультимедийные плееры и умные телевизоры. Все устройства в локальной сети получают данные сообщения и имеют возможность направить ответ. В штатном режиме устройство возвращает ссылку на местоположение XML-файла с информацией об устройстве, поддерживающем UPnP. При проведении атаки вместо ссылки на XML можно передать URI с intent-командами для Android.
При помощи intent-команд можно перенаправить пользователя на фишинг-сайты или передать ссылку на xpi-файл (браузер выдаст предложение установить дополнение). Так как ответы атакующего ничем не ограничены он может попытаться взять измором и наводнить браузер предложениями об установке или вредоносными сайтами в надежде, что пользователь ошибётся и кликнет на установке вредоносного пакета. Помимо открытия произвольных ссылок в самом браузере intent-команды могут использоваться для обработки контента и в других Android-приложениях, например, можно открыть шаблон письма в почтовом клиенте (URI mailto:) или запустить интерфейс для совершения звонка (URI tel:).
ಮೂಲ: opennet.ru
