网络中充满恶意网站并不令人奇怪,但这些欺诈网站当中会有一些聪明的家伙利用浏览器厂商疏忽而实现的“小技巧”骗倒不少人。据cnbeta报道,恶意软件作者和诈骗者滥用了一个Firefox当中的错误来捕获恶意网站上的用户信息,这一问题自2007年4月就被首次报道,至今都没有被修复。
恶意软件作者和诈骗者已经滥用了一个Firefox当中的错误来捕获恶意网站上的用户信息已有11年。该漏洞的利用并不困难,只需要在源代码中嵌入一个恶意网站的iframe,就可以实现在另一个域上发出HTTP身份验证请求,这导致iframe在恶意站点上显示身份验证模式,如下所示:
在过去的几年里,恶意软件作者和诈骗者一直在滥用这个漏洞来吸引被黑网站的用户,例如显示技术支持诈骗信息,进行广告欺诈,欺骗用户转向购买虚假礼品卡的网页,或干脆直接提供恶意软件。
但是,尽管该问题被报告里一次又一次,但BUG一直没有修复,骗子们一直很乐意滥用它。最新的滥用示例来自于近日再次报告该问题的用户,登录框跳出后,其中一个正试图强迫他安装可疑Firefox扩展程序。恶意页面打开了浏览器的全屏模式,然后网页跳出了虚假的Windows对话框(哪怕用户正在使用Linux)。
因为这个登录对话框的原因,按ESC退出全屏或者点击选项卡中的窗口的关闭按钮都不起作用,点击登录对话框的关闭按钮或取消按钮,就会重新出现对话框,除非杀掉Firefox进程问题才会解决。
Mozilla是一个开源项目,他们没有无限的资源来处理所有报告的问题,不过无论如何一个超过11年的安全隐患不应该被忽视。
内容来源:cnbeta
https://www.cnbeta.com/articles/tech/796495.htm
对于类似这样长时间被报道,但却一直未被修复的BUG并不罕见,如早就公开的Windows RID相对标识符漏洞早已近一年未修复了、10月微软发布累积更新缓解的漏洞也是已经被公开许久后微软也才着手修补的。面对复杂的信息行业安全环境,并不是我们及时打补丁、及时修复漏洞就可以避免遭受攻击的。对此,信息安全行业专家建议,应部署信息安全防护工作以避免位置漏洞带来的潜在威胁。
2018-12-11 07:27:06
