被“养”11年!黑客滥用Firefox“高龄”漏洞强制用户输入信息

  • 时间:
  • 浏览:0
  • 来源:1.5分赛车官网-10分6合平台_10分彩网投平台

图片来源图虫:已授站长之家使用

本文作者:周星恺

12 月 10 日雷锋网(公众号:雷锋网)报道 最近,ZDNet记者Catalin Cimpanu发现黑客正在滥用Firefox的另一个多漏洞进行长期网络诈骗行动。耐人寻味的是,该漏洞最早于 1507 年 4 月被反馈却至今也未被修复。如今,它导致 “ 11 岁”了。

对攻击者来说,利用该漏洞无须趋于稳定技术上的难关:只时要在源代码中嵌入另一个多恶意网站的iframe元素,就可不必能在那我域上发出HTTP身份验证请求,如下所示:

iframe是HTML标签,作用是内嵌文档导致 浮动的框架(FRAME),iframe元素会创建带有另外另一个多文档的内联框架(即行内框架)。简单来说,当用户通过Firefox浏览器打开恶意站点就让,网站会强制循环跳出“身份验证”提示框。

在过去几年里,恶意软件作者、广告刷手和诈骗者老要在滥用这名漏洞来吸引浏览恶意网站的用户。类式 窗口弹跳出示支持诈骗信息、诱导用户购买虚假礼品卡、作为前往虚假网站的入口甚至直接强制用户登录恶意网站。

雷锋网得知,每当用户试图遗弃网站时,恶意站点会循环触发全屏的“身份验证”窗口。即使用户关掉另一个多又会立刻弹出那我,按ESC退出全屏窗口依然不起作用,唯一的法律办法就说 彻底关闭浏览器。

怎么会Firefox工程师没法及时修复漏洞呢?

在雷锋网看来,漏洞在 11 年内尚未得到修复,这与Mozilla 属于开源项目有着一点关联。Catalin Cimpanu说:“你说Firefox工程师没与非 限资源来处里哪些被报告出来的疑问,但这 11 年中,更多不法分子采用这名漏洞带来的便利条件对用户实施各种网络攻击。”

从用户反馈中看出,多数人建议Firefox团队学习Edge和Chrome处里类式 状况时采用的处里方案:

Edge:Edge中身份验证窗口的弹出时间延迟很长,用户有足够的时间可不必能关闭页面或浏览器。

Chrome:身份验证弹窗被变成了趋于稳定浏览器上部的选项卡按钮,这名设计将浏览器页面与身份验证弹窗分割开,用户可不必能在不关闭网页的状况下轻松关闭被滥用的选项卡。

类式 状况无须首例, 2017 年 8 月,另一个多匿名的安全研究人员通过Beyongd Security的SecuriTeam安全披露计划向谷歌告知了另一个多安全漏洞,但谷歌方面的发表声明并都有 计划处里该RCE漏洞疑问,导致 它不必影响到现行版本的Chrome 150。

数据显示,当时使用Chrome浏览器的总体市场份额约为59%,其中,Chrome150 版本的市场份额趋于稳定了150%,这就导致 ,有10%的用户更容易遭遇RCE漏洞带来的包括广告软件、恶意Chrome扩展、技术欺诈在内的多种影响。

当然,谷歌并未对漏洞置之不理,其处里法律办法是直接将设备中的Chrome浏览器完整性更新到最新Chrome150 版本。可见,谷歌不再支持旧版本浏览器,就说 希望以Chrome150 版本为起点进行新一轮的打磨。

国内最早关注智能硬件行业的互联网科技媒体,这里有最酷炫的智能硬件终端,有层厚的创业介绍,雷锋网是移动互联网时代智能硬件终端第一媒体,亲戚亲戚大家儿在这里展现未来。