文章总结: CVE-2026-13356是FirefoxforiOS中一个高危地址栏源欺骗漏洞,影响版本≤152.1.2。攻击者通过同步JS对话框冻结共享WebContent进程,使地址栏显示合法域名但实际展示恶意内容,用于高仿钓鱼攻击窃取凭证。用户应立即从AppStore更新至152.3或更高版本,企业应通过MDM强制更新并提醒员工警惕异常冻结页面。 综合评分: 85 文章分类: 漏洞分析,应急响应,移动安全,钓鱼
紧急预警 | CVE-2026-13356 | Firefox for iOS 地址栏源欺骗(钓鱼)漏洞
撅人
2026年7月8日 00:00 广东
在小说阅读器读本章
去阅读
各位移动安全、企业 MDM 及 iOS 用户请注意!Mozilla 官方披露 Firefox for iOS 存在地址栏源欺骗漏洞(CVE-2026-13356)。恶意网页利用同步 JS 对话框冻结共享 WebContent 进程,使地址栏仍显示合法域名但实际页面用户看到攻击者控制内容,可诱导输入凭证或敏感信息(高仿钓鱼)。请立即指引用户升级 App!
🔴 漏洞速览(关键指标)
| 关键指标 | 详情 | | — | — | | 漏洞编号 | CVE-2026-13356 | | 漏洞类型 | 地址栏源欺骗(Address Bar Spoofing)→ UI 挂起 → 钓鱼/凭据窃取 | | CVSS 评分 | 高危(预计 6.5–7.5,需用户访问恶意页) | | 攻击前提 | 诱导 iOS Firefox 用户访问恶意网页(链接/广告/重定向) | | 影响组件 | Firefox for iOS ≤ 152.1.2(含 152.0 / 152.0.1 / 152.1 / 152.1.1 / 152.1.2) | | 核心风险 | 地址栏显示 bank.com 但内容已是 attacker.com 控制 → 完美伪装钓鱼页 |
💥 核心危害(攻击者能做什么?)
🎣 高可信钓鱼(最危险):
📿 凭据窃取:收集到的账号/OTP/MFA token 可实时 exfil 或存 localStorage 待后续读取。
🔓 品牌滥用信任降低警觉:地址栏锁定显示合法域名,用户极难分辨真伪。
📱 仅影响 iOS 版 Firefox(Android/Desktop 架构不同,不受影响)。
🧠 漏洞原理(通俗版)
漏洞根源是”iOS WKWebView 多 Tab 共享进程 + 同步 JS 对话框把渲染冻住了,但地址栏没回滚”:
WebKit 共享进程:iOS Firefox 为内存内存,多个 Tab可见 Tab 与 popup Tab共享同一 WebContent 进程。
同步对话框挂起:恶意 popup 调 alert(“”)/ confirm()→ WebContent 进程事件循环被阻塞 →同时驱动可见 Tab 的渲染线程也暂停。
地址栏未回滚:可见 Tab 先前已导航到合法 URL(location.href = “https://bank.com/login”完成),地址栏显示 bank.com;渲染冻结后地址栏保持不变,内容区停控件通过 z 操控或预加载伪装注入覆盖层显示。
// 恶意页let w = window.open('about:blank','popup');w.eval(`setTimeout(()=>alert('freeze'),100)`); // 挂起共享进程// 主窗体借机写覆盖 visible tab DOM / 用 fixed 层伪装登录document.body.innerHTML = '<div style="position:fixed;top>Fake Bank Login</div>';
修复(v152.3 / commit6bb11e265a):BrowserViewController+WebViewDelegates.swift新增 alertCouldFreezeSelectedTab()判断——若发起对话框 Tab 与当前选中 Tab共享弹出进程组会冻结可见 Tab → 直接丢弃 JS 对话框,不挂起进程,切断渲染冻结条件。
🔍 3秒自查:你是否受影响?
✅ 受影响版本(红区)
Firefox for iOS:所有版本≤ 152.1.2
确认方式:App → Firefox →设置(齿轮)→ About Firefox查看版本号
✅ 安全版本(绿区)
Firefox for iOS ≥ 152.3(官方修复版本)
App Store 搜 “Firefox — Mozilla” → 更新
🛡️ 紧急修复方案
- 根治方案:立即从 App Store 更新(首选)
打开App Store→ 搜索Firefox→ 若有Update按钮点击更新
或设置 → 通用 → iPhone 存储空间 →空间 → App Store → 自动更新开启
更新后确认About Firefox显示152.3或更高
- 临时缓解(若暂无法更新)
避免用 Firefox iOS 访问不可信链接:敏感操作(网银/企业 OA)改用Safari或已修复版本 Firefox。
警惕地址栏”卡住”现象:若 Firefox 页面突然白屏/冻结且地址栏显示知名站点但内容异常 →立即关闭 Tab,不输入任何凭证。
企业 MDM 限制:通过 Apple Business Manager 推送应用配置策略暂时屏蔽低版本 Firefox,要求 ≥152.3 才允许运行(或强制自动更新)。
- 安全自查清单(企业推送场景)
MDM 控制台确认受管 iOS 设备 Firefox 版本 ≥ 152.3
推送全员通告:警惕 Firefox iOS 中异常冻结页要求输密码
建议敏感业务优先使用 Safari + 启用 Fraud Warning
⚠️ 安全生死提醒
地址栏欺骗是钓鱼攻击的最高最高危形态——用户看到正确域名便放下戒备。此漏洞使攻击者可用能以”完美仿冒银行/企业登录页 + 正确地址栏”骗取凭据,金融、政企移动用户尤需警惕。请 iOS Firefox 用户在 24 小时内完成 App Store 更新,企业 IT 通过 MDM 推动合规!
📢 转发提醒:请立即将本文转发给负责移动设备管理及全员安全通告的同事!
官方参考:Mozilla Security Advisory — CVE-2026-13356 / Firefox for iOS 152.3 Release Notes (FXIOS-16098 / PR #34327)
修复要点:WKUIDelegate alert/confirm/prompt 回调中检测是否会导致选中 Tab 冻结(共享进程组),若是丢弃 JS 对话框不断开渲染线程
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:撅人 《紧急预警 | CVE-2026-13356 | Firefox for iOS 地址栏源欺骗(钓鱼)漏洞》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论