CVE-2023-34414
NiskieCVSS 3.1Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 55 — wyżej niż 55% wszystkich znanych CVE
Streszczenie
Podatność dotyczy stron z nieprawidłowymi certyfikatami TLS, gdzie brakowało opóźnienia aktywacji w przeglądarce Firefox. Złośliwa strona mogła wykorzystać ten błąd, aby skłonić użytkownika do kliknięcia w odpowiednie miejsca, co mogło prowadzić do zignorowania błędu certyfikatu.
Ocena ryzyka
Organizacje mogą być narażone na ataki, które wykorzystują ludzkie opóźnienia w reakcji, co może prowadzić do nieautoryzowanego dostępu do zasobów chronionych certyfikatami TLS.
Rekomendacja
Zaleca się aktualizację przeglądarki Firefox oraz Thunderbirda do najnowszych wersji, aby zniwelować ryzyko związane z tą podatnością.
Oryginalny opis (angielski, źródło NVD)
The error page for sites with invalid TLS certificates was missing the activation-delay Firefox uses to protect prompts and permission dialogs from attacks that exploit human response time delays. If a malicious page elicited user clicks in precise locations immediately before navigating to a site with a certificate error and made the renderer extremely busy at the same time, it could create a gap between when the error page was loaded and when the display actually refreshed. With the right timing the elicited clicks could land in that gap and activate the button that overrides the certificate error for that site. This vulnerability affects Firefox ESR < 102.12, Firefox < 114, and Thunderbird < 102.12.

