推荐关注:

被“养”11年![敏感词汇屏蔽]客滥用Firefox“高龄”漏洞强制用户输入信息

收集整理:九站网 更新时间:20181211 文章来源:雷锋网

图片来源图虫:已授站长之家使用本文作者:周星恺12月10日雷锋网(公众号:雷锋网)报道最近,ZDNet记者CatalinCimpanu发现[敏感词汇屏蔽]客正在

图片来源图虫:已授站长之家使用

本文作者:周星恺

12月10日雷锋网(公众号:雷锋网)报道最近,ZDNet记者CatalinCimpanu发现[敏感词汇屏蔽]客正在滥用Firefox的一个漏洞进行长期网络诈骗行动。耐人寻味的是,该漏洞最早于2007年4月被反馈却至今也未被修复。如今,它已经“11岁”了。

对攻击者来说,利用该漏洞并不存在技术上的难关:只需要在源[敏感词汇屏蔽]码中嵌入一个恶意网站的iframe元素,就可以在另一个域上发出H..TTP身份验证请求,如下所示:

iframe是H..TML标签,作用是内嵌文档或者浮动的框架(FRAME),iframe元素会创建包含另外一个文档的内联框架(即行内框架)。简单来说,当用户通过Firefox浏览器打开恶意站点之后,网站会强制循环跳出“身份验证”提示框。

在过去几年里,恶意软件作者、广告刷手和诈骗者一直在滥用这个漏洞来吸引浏览恶意网站的用户。例如窗口[敏感词汇屏蔽]出显示支持诈骗信息、诱导用户购买虚[敏感词汇屏蔽]礼品卡、作为前往虚[敏感词汇屏蔽]网站的入口甚至直接强制用户登录恶意网站。

雷锋网得知,每当用户试图离开网站时,恶意站点会循环触发全屏的“身份验证”窗口。即使用户关掉一个又会立刻[敏感词汇屏蔽]出另一个,按ESC退出全屏窗口依然不起作用,唯一的办法就是彻底关闭浏览器。

为何Firefox工程师没有及时修复漏洞呢?

在雷锋网看来,漏洞在11年内尚未得到修复,这与Mozilla属于开源项目有着某些关联。CatalinCimpanu说:“也许Firefox工程师没有无限资源来处理这些被报告出来的问题,但这11年中,更多不法分子采用这一漏洞带来的便利条件对用户实施各种网络攻击。”

从用户反馈中看出,多数人建议Firefox团队学习Edge和Chrome处理类似情况时采用的解决方案:

Edge:Edge中身份验证窗口的[敏感词汇屏蔽]出时间延迟很长,用户有足够的时间可以关闭页面或浏览器。

Chrome:身份验证[敏感词汇屏蔽]窗被变成了位于浏览器上部的选项卡按钮,这种设计将浏览器页面与身份验证[敏感词汇屏蔽]窗分割开,用户可以在不关闭网页的情况下轻松关闭被滥用的选项卡。

类似情况并非首例,2017年8月,一个匿名的安全研究人员通过BeyongdSecurity的SecuriTeam安全披露计划向谷歌告知了一个安全漏洞,但谷歌方面的回应并不是计划解决该RCE漏洞问题,因为它不会影响到现行版本的Chrome60。

数据显示,当时使用Chrome浏览器的总体市场份额约为59%,其中,Chrome60版本的市场份额占据了50%,这就意味着,有10%的用户更容易遭遇RCE漏洞带来的包括广告软件、恶意Chrome扩展、技术欺诈在内的多种影响。

当然,谷歌并未对漏洞置之不理,其处理方法是直接将设备中的Chrome浏览器全部更新到最新Chrome60版本。可见,谷歌不再支持旧版本浏览器,而是希望以Chrome60版本为起点进行新一轮的打磨。

被“养”11年![敏感词汇屏蔽]客滥用Firefox“高龄”漏洞强制用户输入信息》一文由九站网收集整理,不代表本站支持本文观点,如有疑问请与我们取得联系

热门频道推荐 建站经验 策划盈利 搜索优化 业界动态 境外动态 网络评论 传媒播报 产品运营 交互设计 网站推广 免费资源 网络游戏 网页游戏 电商要闻 电商分析 移动通讯 数码咨讯 移动应用 数码评测 创业模式 创业资本 创业点评 创业经验 电商淘客 电商微商

九站草根门户 服务草根站长 集结网络群体的力量!
免责申明:本站为非盈利性网站,网站所载文章除申明原创皆来源于网络,其版权归原作者所有。如无意侵犯您的权益,请及时与我们联系,我们将在第一时间处理您的诉求。
PHP程序订制开发,九站系统销售联系QQ 1142088012 蜀ICP备06021074号 Copyright 2011-2016 © Www.O9z.Net .All Rights Reserved