Mozilla выпустила обновление Firefox для iOS версии 152.3, закрывающее уязвимость средней степени опасности. О проблеме сообщил исследователь Азза Тегар Науфал Атаулла. Уязвимость CVE-2026-13356 позволяет злоумышленнику обмануть пользователя, заставив его поверить, что он находится на легитимном сайте, в то время как браузер продолжает отображать вредоносное содержимое.
Уязвимость CVE-2026-13356
Суть проблемы заключается в особенностях обработки навигации в мобильной версии браузера. Вредоносная веб-страница может прервать ожидающую загрузку новой страницы с помощью синхронного диалогового окна JavaScript. В этот момент интерфейс Firefox отображает адрес целевого сайта в адресной строке, но фактически продолжает показывать содержимое, контролируемое атакующим. Таким образом, пользователь видит в строке браузера, например, адрес своего банка, а на экране - поддельную форму для входа, созданную злоумышленником.
Эта техника эксплуатирует разрыв между временем начала навигации и моментом фактической замены содержимого вкладки. Синхронный диалог (alert, prompt или confirm) блокирует выполнение скриптов на странице, что заставляет браузер приостановить процесс перехода. Однако визуальная часть - адресная строка - уже обновляется до нового URL. В результате происходит рассогласование: пользователь видит адрес назначения, а содержимое страницы остаётся старым. Атакующий может вставить в эту задержку фишинговые элементы.
Уязвимость касается только версий Firefox для iOS 152.2 и более ранних. Она не затрагивает десктопную версию браузера, версии для Android или другие продукты Mozilla. При этом опасность для владельцев iPhone и iPad стоит оценивать как реальную. Адресная строка - основной элемент, которому пользователи доверяют при проверке подлинности сайта. Успешная эксплуатация такой уязвимости может привести к краже учётных данных, финансовой информации или токенов авторизации.
Mozilla присвоила проблеме умеренный уровень критичности (moderate). Это означает, что уязвимость не позволяет выполнить код на устройстве или получить прямой доступ к системе, но может быть использована в целевых атаках с социальной инженерией. В бюллетене безопасности mfsa2026-65 от 5 июля 2026 года компания рекомендует всем пользователям Firefox для iOS как можно скорее установить версию 152.3.
Обновление распространяется через App Store. Пользователям достаточно перейти в раздел обновлений магазина приложений и установить новую версию. Дополнительных действий не требуется. Mozilla не сообщает о временных решениях или обходных путях защиты - только установка патча полностью устраняет проблему.
Это не первый случай, когда исследователи обнаруживают уязвимости, связанные с манипуляцией адресной строкой. Ранее подобные проблемы находили в различных мобильных браузерах, включая Safari и Chrome для iOS. Механика атак обычно строится на задержках рендеринга, асинхронных запросах или особенностях работы JavaScript-движка. Повторяемость таких находок указывает на то, что разработчикам браузеров необходимо уделять больше внимания синхронизации визуального интерфейса с фактическим состоянием вкладки.
Для владельцев iPhone и iPad, использующих Firefox, рекомендация очевидна: обновить браузер до последней версии. Тем, кто пользуется другими браузерами на iOS, стоит следить за их обновлениями - аналогичные уязвимости могут существовать и в них, но пока не обнаружены.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-13356
- https://www.mozilla.org/en-US/security/advisories/mfsa2026-65/