Ao amin'ny Firefox ho an'ny Android matotra amin'ny fampiharana protocol , ampiasaina hahitana serivisy tambajotra amin'ny tambajotra eo an-toerana. Ny vulnerability dia ahafahan'ny mpanafika iray ao amin'ny tambajotra eo an-toerana na tsy misy tariby mamaly ny fangatahan'ny Firefox amin'ny alàlan'ny hafatra UPnP XML "LOCATION" miaraka amin'ny , izay ahafahanao manokatra URI tsy misy dikany amin'ny navigateur na miantso ireo mpitantana ny rindranasa hafa.
Miseho hatramin'ny famoahana ny olana ary nesorina tao amin'ny version of Firefox ho an'ny Android 79, i.e. Ireo edisiona mahazatra taloha an'ny Firefox ho an'ny Android dia marefo ary mila fanavaozana navigateur (Fenix), izay mampiasa ny motera GeckoView, naorina tamin'ny teknolojia Firefox Quantum, ary tranomboky maromaro. . Tsy misy fiantraikany amin'ity olana ity ny dikan-teny desktop an'ny Firefox.
Ho an'ny fitiliana vulnerability prototype miasa amin'ny fitrandrahana. Ny fanafihana dia atao tsy misy hetsika avy amin'ny mpampiasa; ampy fa ny navigateur Firefox marefo ho an'ny Android dia mandeha amin'ny fitaovana finday ary ny niharam-boina dia ao amin'ny subnet mitovy amin'ny mpizara SSDP an'ny mpanafika.
Firefox ho an'ny Android dia mandefa tsindraindray hafatra SSDP amin'ny fomba fampielezam-peo (UDP marobe) hamantarana ireo fitaovana fampitana toy ny mpilalao multimedia sy fahitalavitra marani-tsaina izay hita ao amin'ny tambajotra eo an-toerana. Ny fitaovana rehetra ao amin'ny tambajotra eo an-toerana dia mahazo ireo hafatra ireo ary manana fahafahana mandefa valiny. Amin'ny ankapobeny, ny fitaovana dia mamerina rohy mankany amin'ny toeran'ny rakitra XML misy fampahalalana momba ny fitaovana ampiasaina amin'ny UPnP. Rehefa manao fanafihana ianao, fa tsy rohy mankany amin'ny XML, dia afaka mandefa URI misy baiko intent ho an'ny Android ianao.
Amin'ny fampiasana baiko intent, azonao atao ny mamindra ny mpampiasa amin'ny tranokala phishing na mandefa rohy mankany amin'ny rakitra xpi (ny navigateur dia hanosika anao hametraka ny add-on). Koa satria tsy voafetra amin'ny fomba rehetra ny valin-tenin'ny mpanafika, dia afaka manandrana mamono mosary sy manondraka ny navigateur amin'ny tolotra fametrahana na tranokala manimba izy amin'ny fanantenana fa hanao fahadisoana ny mpampiasa ary tsindrio ny hametraka ilay fonosana maloto. Ho fanampin'ny fanokafana rohy tsy misy dikany ao amin'ny navigateur, ny baiko intent dia azo ampiasaina hanodinana votoaty amin'ny rindranasa Android hafa, ohatra, azonao atao ny manokatra môdely taratasy amin'ny mpanjifa mailaka (URI mailto:) na manangana interface tsara hanaovana antso. (Telfa URI:).
Source: opennet.ru