Mozilla Firefox包含一个存在了11年的“验证对话框”隐患

恶意软件作者和诈骗者已经滥用了一个Firefox当中的错误来捕获恶意网站上的用户信息已有11年。网络中充满恶意网站并不令人奇怪,但这些欺诈网站当中会有一些聪明的家伙利用浏览器厂商疏忽而实现的“小技巧”骗倒不少人,事实上这一问题自2007年4月就被首次报道,而到现在都没有被修复。

该漏洞的利用并不困难,只需要在源代码中嵌入一个恶意网站的iframe,就可以实现在另一个域上发出HTTP身份验证请求,这导致iframe在恶意站点上显示身份验证模式,如下所示:

Mozilla Firefox包含一个存在了11年的“验证对话框”隐患的照片 - 1

在过去的几年里,恶意软件作者,诈骗者一直在滥用这个漏洞来吸引被黑网站的用户,例如显示技术支持诈骗信息,进行广告欺诈,欺骗用户转向购买虚假礼品卡的网页,或干脆直接提供恶意软件。

但是,尽管技术社区一次又一次地报告了这个问题[1, 2, 3, 4, 5, 6, 7],但原因不明的是,问题一直没有修复,骗子们一直很乐意滥用它。

最新的滥用示例来自于今天再次报告该问题的用户,登录框跳出后,其中一个正试图强迫他安装可疑Firefox扩展程序。恶意页面打开了浏览器的全屏模式,然后网页跳出了虚假的Windows对话框(哪怕用户正在使用Linux)。

Mozilla Firefox包含一个存在了11年的“验证对话框”隐患的照片 - 2

因为这个登录对话框的原因,按ESC退出全屏或者点击选项卡中的窗口的关闭按钮都不起作用,点击登录对话框的关闭按钮或取消按钮,就会重新出现对话框,除非杀掉Firefox进程问题才会解决。

Mozilla是一个开源项目,他们没有无限的资源来处理所有报告的问题,不过无论如何一个超过11年的安全隐患不应该被忽视。

weinxin
N软网微信公众号扫一扫
观点新鲜独到,有料有趣,有互动、有情怀、有福利!关注科技,关注N软,让我们生活更加美好!

发表评论(请用社交帐号登录)

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: