據 ZDNet 報道,惡意軟件製作者正在濫用 Firefox 的一個漏洞來誘騙用戶。耐人尋味的是,該漏洞最早於2007年4月被反饋,且後續也有多次被反饋,卻不知出於什麼原因,遲遲未被修復。
該漏洞的利用並不困難,只需在源代碼中嵌入一個惡意網站的 iframe ,就可以在另一個域上發出 HTTP 身份驗證請求,從而讓 iframe 在惡意站點上顯示身份驗證模式,如下所示:
在過去幾年裡,惡意軟件作者、詐騙者一直在濫用這個漏洞來吸引瀏覽惡意網站的用戶,例如顯示技術支持詐騙信息,誘導用戶購買虛假的禮品卡、前往虛假的技術協助網站,或直接引導用戶跳轉至惡意軟件網站。
每當用戶試圖離開時,這些惡意站點的所有者會循環觸發全屏的身份驗證模式。用戶關掉一個,又會彈出另一個,按 ESC 退出全屏和窗口的關閉按鈕均不起作用,直到他們通過進程徹底關閉瀏覽器。
ZDNet 評論道,儘管 Mozilla 是開源的項目,沒有無限的資源處理所有報告出來的問題;但是,在這漫長的11年裡,Firefox 的工程師理應能抽出一點時間來處理此問題,甚至是可以參考 Chrome 和 Edge 等其他瀏覽器的處理方式。
分享到:
閱讀更多 魚木腦袋 的文章
