Usuários do Mozilla Firefox devem atualizar o navegador o mais rápido possível: o browser recebeu um update que corrige um erro que permitia que sites maliciosos criassem cursores de mouse artificiais impedindo que as páginas fossem fechadas.
O bug foi encontrado pela empresa de segurança Sophos, que relatou a existência da falha à Mozilla no começo do ano. Agora, com o lançamento do Firefox 79, a vulnerabilidade enfim foi corrigida.
Como funciona o ataque
A vulnerabilidade detectada pela Sophos permite um ataque conhecido como “cursor maligno”. Com ele, sites maliciosos se aproveitam da possibilidade de personalização do cursor do mouse para impedir que o usuário saia da página.
A personalização dos cursores é comum em sites que oferecem jogos online, realidade aumentada, ou realidade virtual. Mas eles também podem ser usados indevidamente por hackers, que conseguem modificar a visibilidade do cursor do mouse na página, assim como qual é a área de clique.
Com isso, o usuário pode pensar que o cursor faz uma coisa, enquanto na verdade ele está fazendo outra completamente diferente.
O vídeo abaixo mostra como um site pode abusar do recurso para prejudicar usuários:
Here’s a demo recorded by Sophos of the evil cursor attack on a clone of the tech support site abusing this pic.twitter.com/0ItRFwCeVU
— Catalin Cimpanu (@campuscodi) August 6, 2020
Esse tipo de ataque é antigo e bastante conhecido por pesquisadores de segurança e desenvolvedores. O Google vem corrigindo falhas no Chrome relacionadas a cursores malignos desde 2010, sendo que o patch mais recente foi liberado em 2019. A Mozilla, por sua vez, tinha consertado a vulnerabilidade no Firefox em 2018 antes dos novos casos.
Via: ZDNet