关键信息 漏洞标题: URL spoofing by abusing auto hide URL bar feature (FxiOS) 漏洞编号: Bug 1878489 (CVE-2024-38313) 状态: Closed, VERIFIED FIXED 关联产品和组件: Firefox for iOS, Browser 漏洞类型: defect 优先级和严重性: Priority: Not set, Severity: sec-high 关键词: csectype-spoof, reporter-external, sec-high 漏洞描述 当用户垂直滚动页面时,URL栏会自动隐藏。在这个情况下打开新窗口时,新窗口的URL栏有时也会保持隐藏状态。如果新窗口打开的页面内容足够长,URL栏会在上下滚动页面时重新出现。然而,如果内容较短,URL栏将不再显示,直到页面重新加载。 这种行为可以被滥用,显示伪造的地址栏。 复现步骤 简易但不稳定的复现方法 1. 访问: [](https://csrf.jp/2024/fxios-url-spoofing/) 2. 向下滚动页面并点击"Open Google"按钮 3. 伪造的Google登录页面会在新标签页中打开,但地址栏显示为"www.google.com" 需要步骤但稳定的复现方法 1. 访问 [](https://csrf.jp/2024/fxios-url-spoofing/open_new_window.php) 2. 向下滚动页面并长按文本链接 3. 点击"Open New Tab"和"Switch" 4. 伪造的Google登录页面会在新标签页中打开,但地址栏显示为"www.google.com" 解决方案 修复已合并,将针对Firefox iOS的v127版本发布。已确认修复正确。