12月10日雷鋒網(wǎng)報(bào)道 最近，ZDNet記者Catalin Cimpanu發(fā)現(xiàn)黑客正在濫用Firefox的一個(gè)漏洞進(jìn)行長(zhǎng)期網(wǎng)絡(luò)詐騙行動(dòng)。耐人尋味的是，該漏洞最早于2007年4月被反饋卻至今也未被修復(fù)。如今，它已經(jīng)“11歲”了。

對(duì)攻擊者來(lái)說(shuō)，利用該漏洞并不存在技術(shù)上的難關(guān)：只需要在源代碼中嵌入一個(gè)惡意網(wǎng)站的iframe元素，就可以在另一個(gè)域上發(fā)出HTTP身份驗(yàn)證請(qǐng)求，如下所示：

iframe是HTML標(biāo)簽，作用是內(nèi)嵌文檔或者浮動(dòng)的框架(FRAME)，iframe元素會(huì)創(chuàng)建包含另外一個(gè)文檔的內(nèi)聯(lián)框架（即行內(nèi)框架）。簡(jiǎn)單來(lái)說(shuō)，當(dāng)用戶(hù)通過(guò)Firefox瀏覽器打開(kāi)惡意站點(diǎn)之后，網(wǎng)站會(huì)強(qiáng)制循環(huán)跳出“身份驗(yàn)證”提示框。

在過(guò)去幾年里，惡意軟件作者、廣告刷手和詐騙者一直在濫用這個(gè)漏洞來(lái)吸引瀏覽惡意網(wǎng)站的用戶(hù)。例如窗口彈出顯示支持詐騙信息、誘導(dǎo)用戶(hù)購(gòu)買(mǎi)虛假禮品卡、作為前往虛假網(wǎng)站的入口甚至直接強(qiáng)制用戶(hù)登錄惡意網(wǎng)站。

雷鋒網(wǎng)得知，每當(dāng)用戶(hù)試圖離開(kāi)網(wǎng)站時(shí)，惡意站點(diǎn)會(huì)循環(huán)觸發(fā)全屏的“身份驗(yàn)證”窗口。即使用戶(hù)關(guān)掉一個(gè)又會(huì)立刻彈出另一個(gè)，按ESC退出全屏窗口依然不起作用，唯一的辦法就是徹底關(guān)閉瀏覽器。

為何Firefox工程師沒(méi)有及時(shí)修復(fù)漏洞呢？

在雷鋒網(wǎng)看來(lái)，漏洞在11年內(nèi)尚未得到修復(fù)，這與Mozilla 屬于開(kāi)源項(xiàng)目有著某些關(guān)聯(lián)。Catalin Cimpanu說(shuō)：“也許Firefox工程師沒(méi)有無(wú)限資源來(lái)處理這些被報(bào)告出來(lái)的問(wèn)題，但這11年中，更多不法分子采用這一漏洞帶來(lái)的便利條件對(duì)用戶(hù)實(shí)施各種網(wǎng)絡(luò)攻擊?！?/p>

從用戶(hù)反饋中看出，多數(shù)人建議Firefox團(tuán)隊(duì)學(xué)習(xí)Edge和Chrome處理類(lèi)似情況時(shí)采用的解決方案：

Edge：Edge中身份驗(yàn)證窗口的彈出時(shí)間延遲很長(zhǎng)，用戶(hù)有足夠的時(shí)間可以關(guān)閉頁(yè)面或?yàn)g覽器。

Chrome：身份驗(yàn)證彈窗被變成了位于瀏覽器上部的選項(xiàng)卡按鈕，這種設(shè)計(jì)將瀏覽器頁(yè)面與身份驗(yàn)證彈窗分割開(kāi)，用戶(hù)可以在不關(guān)閉網(wǎng)頁(yè)的情況下輕松關(guān)閉被濫用的選項(xiàng)卡。

類(lèi)似情況并非首例，2017年8月，一個(gè)匿名的安全研究人員通過(guò)Beyongd Security的SecuriTeam安全披露計(jì)劃向谷歌告知了一個(gè)安全漏洞，但谷歌方面的回應(yīng)并不是計(jì)劃解決該RCE漏洞問(wèn)題，因?yàn)樗粫?huì)影響到現(xiàn)行版本的Chrome 60。

數(shù)據(jù)顯示，當(dāng)時(shí)使用Chrome瀏覽器的總體市場(chǎng)份額約為59%，其中，Chrome 60版本的市場(chǎng)份額占據(jù)了50%，這就意味著，有10%的用戶(hù)更容易遭遇RCE漏洞帶來(lái)的包括廣告軟件、惡意Chrome擴(kuò)展、技術(shù)欺詐在內(nèi)的多種影響。

當(dāng)然，谷歌并未對(duì)漏洞置之不理，其處理方法是直接將設(shè)備中的Chrome瀏覽器全部更新到最新Chrome 60版本。可見(jiàn)，谷歌不再支持舊版本瀏覽器，而是希望以Chrome 60版本為起點(diǎn)進(jìn)行新一輪的打磨。

來(lái)源：ZDNet

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。