12月10日雷鋒網(wǎng)報道 最近，ZDNet記者Catalin Cimpanu發(fā)現(xiàn)黑客正在濫用Firefox的一個漏洞進(jìn)行長期網(wǎng)絡(luò)詐騙行動。耐人尋味的是，該漏洞最早于2007年4月被反饋卻至今也未被修復(fù)。如今，它已經(jīng)“11歲”了。

對攻擊者來說，利用該漏洞并不存在技術(shù)上的難關(guān)：只需要在源代碼中嵌入一個惡意網(wǎng)站的iframe元素，就可以在另一個域上發(fā)出HTTP身份驗證請求，如下所示：

iframe是HTML標(biāo)簽，作用是內(nèi)嵌文檔或者浮動的框架(FRAME)，iframe元素會創(chuàng)建包含另外一個文檔的內(nèi)聯(lián)框架（即行內(nèi)框架）。簡單來說，當(dāng)用戶通過Firefox瀏覽器打開惡意站點之后，網(wǎng)站會強(qiáng)制循環(huán)跳出“身份驗證”提示框。

在過去幾年里，惡意軟件作者、廣告刷手和詐騙者一直在濫用這個漏洞來吸引瀏覽惡意網(wǎng)站的用戶。例如窗口彈出顯示支持詐騙信息、誘導(dǎo)用戶購買虛假禮品卡、作為前往虛假網(wǎng)站的入口甚至直接強(qiáng)制用戶登錄惡意網(wǎng)站。

雷鋒網(wǎng)得知，每當(dāng)用戶試圖離開網(wǎng)站時，惡意站點會循環(huán)觸發(fā)全屏的“身份驗證”窗口。即使用戶關(guān)掉一個又會立刻彈出另一個，按ESC退出全屏窗口依然不起作用，唯一的辦法就是徹底關(guān)閉瀏覽器。

為何Firefox工程師沒有及時修復(fù)漏洞呢？

在雷鋒網(wǎng)看來，漏洞在11年內(nèi)尚未得到修復(fù)，這與Mozilla 屬于開源項目有著某些關(guān)聯(lián)。Catalin Cimpanu說：“也許Firefox工程師沒有無限資源來處理這些被報告出來的問題，但這11年中，更多不法分子采用這一漏洞帶來的便利條件對用戶實施各種網(wǎng)絡(luò)攻擊。”

從用戶反饋中看出，多數(shù)人建議Firefox團(tuán)隊學(xué)習(xí)Edge和Chrome處理類似情況時采用的解決方案：

Edge：Edge中身份驗證窗口的彈出時間延遲很長，用戶有足夠的時間可以關(guān)閉頁面或瀏覽器。

Chrome：身份驗證彈窗被變成了位于瀏覽器上部的選項卡按鈕，這種設(shè)計將瀏覽器頁面與身份驗證彈窗分割開，用戶可以在不關(guān)閉網(wǎng)頁的情況下輕松關(guān)閉被濫用的選項卡。

類似情況并非首例，2017年8月，一個匿名的安全研究人員通過Beyongd Security的SecuriTeam安全披露計劃向谷歌告知了一個安全漏洞，但谷歌方面的回應(yīng)并不是計劃解決該RCE漏洞問題，因為它不會影響到現(xiàn)行版本的Chrome 60。

數(shù)據(jù)顯示，當(dāng)時使用Chrome瀏覽器的總體市場份額約為59%，其中，Chrome 60版本的市場份額占據(jù)了50%，這就意味著，有10%的用戶更容易遭遇RCE漏洞帶來的包括廣告軟件、惡意Chrome擴(kuò)展、技術(shù)欺詐在內(nèi)的多種影響。

當(dāng)然，谷歌并未對漏洞置之不理，其處理方法是直接將設(shè)備中的Chrome瀏覽器全部更新到最新Chrome 60版本。可見，谷歌不再支持舊版本瀏覽器，而是希望以Chrome 60版本為起點進(jìn)行新一輪的打磨。

來源：ZDNet

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。