
Sebuah kerentanan kritis berjenis Universal Cross-Site Scripting (UXSS) ditemukan di browser Firefox Focus untuk iOS oleh tim keamanan V12 Security. Kerentanan yang diberi nama FirefUXSS ini memungkinkan penyerang mengeksekusi kode JavaScript arbitrer dalam konteks keamanan dari hampir semua web origin yang dapat diarahkan oleh korban. Dengan satu klik saja pada tautan yang dikontrol penyerang, sesi login, token autentikasi, dan akses akun di situs-situs besar seperti Google, YouTube, X (Twitter), dan Reddit dapat dicuri secara diam-diam.
Yang membuat kerentanan ini sangat berbahaya adalah statusnya yang masih berupa 0-day pada saat publikasi. V12 Security melaporkan temuan ini kepada Mozilla pada 4 Juli 2025, namun setelah 11 bulan tanpa adanya patch atau komitmen perbaikan yang konkret, mereka memutuskan untuk melakukan publikasi terbuka pada 8 Juni 2026. Dalam periode tersebut, Firefox Focus untuk iOS tetap rentan terhadap serangan ini, dan jutaan pengguna yang mengandalkan browser ini untuk privasi mereka justru berada dalam risiko yang lebih besar dari yang mereka sadari.
Apa yang Terjadi?
FirefUXSS memanfaatkan celah race condition dalam logika validasi redirect-scheme di Firefox Focus untuk iOS. Secara normal, setiap browser modern akan menolak mengikuti server-side redirect yang mengarah ke skema berbahaya seperti javascript:, data:, atau file:. Jika sebuah server merespons dengan redirect menuju javascript:alert(document.domain), browser yang patuh terhadap standar keamanan seharusnya tidak akan mengeksekusi skrip tersebut — navigasi akan diabaikan atau diperlakukan secara inert.
Namun, di Firefox Focus iOS, pengecekan skema ini tidak dilakukan secara atomik terhadap navigasi yang dikendalikannya. Ini adalah pola klasik Time-of-Check-to-Time-of-Use (TOCTOU) race condition. Saat jalur penanganan redirect dibanjiri dengan serangkaian redirect HTTP→HTTP secara cepat, validator skema dapat tertinggal di belakang pipeline navigasi. Dengan men-timing redirect terakhir yang berisi javascript: agar masuk ke dalam jendela waktu ini, pengecekan skema berbahaya dapat dilewati secara efektif — navigasi ter-commit sebelum (atau alih-alih) ditolak.
Bagaimana Serangan Ini Bekerja?
Alur serangan dimulai ketika penyerang mengirimkan tautan ke halaman yang dikontrol oleh penyerang kepada korban. Korban menekan tautan tersebut, yang kemudian memuat halaman attacker ke dalam browsing context _self. Halaman ini kemudian menavigasi ke URL open-redirect yang berada di origin target, misalnya https://www.google.com/url?q=https://attacker.com/poc.php?pwn=1. Google mengeluarkan redirect kembali ke halaman attacker, dengan browsing context sekarang terkait dengan navigasi google.com.
Pada titik ini, halaman attacker memicu race condition dengan mengirimkan serangkaian redirect diri-sendiri secara cepat. Redirect terakhir dalam burst tersebut mengarah ke javascript:document.write(document.domain). Validator skema kalah dalam race condition; navigasi javascript: ter-commit dan dieksekusi dalam origin google.com, yang mendemonstrasikan UXSS. Dalam versi yang lebih mematikan, langkah terakhir diganti dengan skrip yang membaca cookies, token sesi, atau melakukan akses autentikasi secara arbitrer.
Mengapa _self Menjadi Kunci?
Serangan ini hanya berhasil jika halaman berbahaya dimuat ke dalam browsing context _self — yaitu menavigasi dokumen top-level saat ini di tempat yang sama, bukan ke jendela atau tab baru. Firefox Focus adalah browser single-window tanpa model tab. Tim peneliti meyakini bahwa memuat dokumen berikutnya ke dalam _self meng-collapse navigasi ke dalam browsing context yang sudah menahan origin sebelumnya, dan race condition kemudian mengeksploitasi ambiguitas mengenai origin mana yang dimiliki oleh navigasi yang telah di-commit.
Buka di target lain akan memecah perilaku origin-inheritance dan serangan akan gagal. Faktor penentu lainnya adalah keberadaan open redirect atau navigasi yang dapat dikontrol pada origin target, yang mengarahkan pengguna ke halaman penyerang sambil tetap berada dalam konteks origin tersebut. Open redirect semacam ini sangat meluas dan mudah ditemukan — selama riset, tim V12 mengidentifikasi pivot yang dapat digunakan di Google, X, YouTube, dan Reddit.
Skor CVSS dan Dampak
Kerentanan ini diberi skor CVSS 9.3 (Critical) dengan rincian: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N. Artinya, serangan ini dapat dilakukan dari jarak jauh tanpa perlu autentikasi, dengan kompleksitas rendah, hanya memerlukan interaksi satu klik dari korban, dan dapat mempengaruhi Confidentiality serta Integrity secara tinggi. Firefox Focus untuk iOS versi terbaru pada saat pengujian dinyatakan rentan dan belum ditambal.
Dampak dari kerentanan ini sangat luas. Eksekusi JavaScript arbitrer dalam konteks origin yang dipilih penyerang berarti pencurian session cookies dan token, pengambilalihan akun, dan melakukan aksi autentikasi atas nama korban. Karena hanya diperlukan satu klik tanpa interaksi lebih lanjut, serangan ini sangat mudah dijalankan melalui kampanye phishing atau distribusi tautan berbahaya melalui media sosial dan pesan instan.
Analisa Retasan
Kasus FirefUXSS menjadi contoh nyata bagaimana race condition dalam browser modern masih menjadi attack surface yang sering terabaikan. Meskipun konsep TOCTOU sudah dikenal sejak puluhan tahun lalu, implementasi navigasi web yang kompleks — terutama pada browser mobile yang memiliki batasan arsitektural seperti Firefox Focus yang single-window — menciptakan kondisi di mana race condition dapat dimanfaatkan untuk bypass mekanisme keamanan fundamental.
Yang lebih mencemaskan adalah siklus responsible disclosure yang berjalan sangat lambat. Mozilla membutuhkan waktu hampir satu tahun sejak laporan awal untuk memberikan patch, meskipun kerentanan sudah direproduksi oleh dua engineer berbeda di Mozilla. Dalam kurun waktu tersebut, setiap pengguna Firefox Focus untuk iOS berada dalam risiko. Hal ini mencerminkan tantangan umum dalam ekosistem keamanan di mana tim maintainers open-source sering kali kekurangan sumber daya untuk menangani kerentanan kompleks pada platform mobile secara tepat waktu.
Kejadian ini juga mengingatkan pada serangkaian UXSS yang ditemukan di browser mobile lainnya, seperti kerentanan yang pernah ditemukan di Chrome for Android dan Safari. Pola serangan yang memanfaatkan interaksi antara redirect handler dan origin context ini tampaknya menjadi benang merah dalam keamanan browser mobile, di mana efisiensi rendering sering dikorbankan demi keamanan atomik. Pengguna Firefox Focus untuk iOS disarankan untuk beralih ke browser alternatif sementara menunggu patch resmi dari Mozilla, atau setidaknya menghindari membuka tautan dari sumber yang tidak dipercaya.

