Mozilla Foundation выпустила обновление безопасности для мобильного браузера Firefox на iOS. Версия 152.0 закрывает две уязвимости категории High. Обе проблемы связаны с обработкой cookie при открытии PDF-документов. Исследователь Muneaki Nishimura обнаружил их и сообщил вендору. Патч уже доступен всем пользователям.
Детали уязвимостей
Первая уязвимость имеет идентификатор CVE-2026-53899 (Common Vulnerabilities and Exposures). Firefox для iOS использовал частичное сопоставление доменов при прикреплении cookie к запросам, отправляемым при загрузке PDF. Механизм браузера пытался сопоставить домен открываемого PDF с доменом, на который должны быть отправлены cookie. Из-за неполного сопоставления сайт, расположенный на суффиксном домене (например, sub.attacker.com), мог получить cookie, предназначенные для целевого домена (attacker.com). Атакующий мог разместить вредоносную PDF-ссылку на своём сайте. При переходе по ссылке браузер отправлял cookie, включающие данные сессии целевого сайта. Результат - потенциальная компрометация аутентификационных данных и перехват сессий.
Вторая уязвимость зарегистрирована как CVE-2026-53900. Она связана с механизмом TemporaryDocument - временного документа, который создаётся браузером при открытии PDF. Firefox для iOS сохранял cookie, установленные на начальный PDF-запрос, и передавал их при последующих междоменных перенаправлениях (HTTP-редиректах) в рамках этого временного документа. Иными словами, если злоумышленник контролировал промежуточный сервер, выполняющий редирект, он мог внедрить произвольные cookie в запросы к совершенно другому домену. Атакующий мог вынудить браузер отправить cookie на подконтрольный ему сайт или, наоборот, "подмешать" фиктивные cookie в легитимные запросы. Такое внедрение cookie позволяет подменять данные сессии, имитировать пользователя, проводить атаки типа "фиксирование сессии" (session fixation).
Обе уязвимости имеют высокий уровень опасности. Mozilla оценивает их как High. Для эксплуатации не требуется особых привилегий - достаточно, чтобы пользователь открыл PDF-файл из ненадёжного источника. Наиболее вероятный сценарий атаки - фишинг: жертва получает ссылку на PDF, после открытия которого cookie её браузера утекают на сторонний сервер. Вторая уязвимость позволяет атакующему внедрить cookie в запросы к любому сайту, который использует то же хранилище cookie в iOS. В результате злоумышленник может войти в учётную запись жертвы, если та использует сессионные cookie.
Разработчики устранили неполное сопоставление доменов, а также изменили логику передачи cookie через TemporaryDocument. Теперь браузер очищает cookie после завершения перенаправлений и не допускает их распространения на третьи домены.
Пользователям Firefox для iOS необходимо установить обновление до версии 152. Это можно сделать через App Store. Для тех, кто не может обновиться немедленно, рекомендуется временно отключить автоматическое открытие PDF в браузере. Альтернатива - использовать встроенный в iOS просмотрщик документов либо другой надёжный браузер. Следует избегать открытия PDF-файлов из непроверенных источников, особенно по ссылкам из электронной почты или мессенджеров.
Эти уязвимости демонстрируют, что даже стандартная функциональность браузера - обработка PDF-документов - может содержать серьёзные ошибки безопасности. Механизмы cookie являются одним из основных способов поддержания сессий в веб-приложениях. Любая ошибка в их обработке немедленно создаёт риск для конфиденциальности и целостности данных пользователей. Разработчикам рекомендуется уделять особое внимание проверке логики междоменных операций при работе с временными документами. Полнота сопоставления доменов и контроль за передачей cookie по цепочкам перенаправлений - критически важные области для аудита безопасности.
На данный момент патч выпущен и распространяется. Для пользователей iOS-версии Firefox риски сведены к минимуму. Организациям, использующим этот браузер на корпоративных устройствах, необходимо ускорить процесс обновления.
Ссылки
