惡意軟件作者和詐騙者已經(jīng)濫用了一個(gè) Firefox 當中的錯誤來(lái)捕獲惡意網(wǎng)站上的用戶(hù)信息已有 11 年�。網(wǎng)絡(luò )中充滿(mǎn)惡意網(wǎng)站并不令人奇怪��,但這些欺詐網(wǎng)站當中會(huì )有一些聰明的家伙利用瀏覽器廠(chǎng)商疏忽而實(shí)現的“小技巧”騙倒不少人����,事實(shí)上這一問(wèn)題自 2007 年 4 月就被首次報道��,而到現在都沒(méi)有被修復����。
該漏洞的利用并不困難�����,只需要在源代碼中嵌入一個(gè)惡意的 iframe����,就可以實(shí)現在另一個(gè)域上發(fā)出 HTTP 身份驗證請求�����,這導致 iframe 在惡意站點(diǎn)上顯示身份驗證模式��,如下所示:
在過(guò)去的幾年里��,惡意軟件作者���,詐騙者一直在濫用這個(gè)漏洞來(lái)吸引被黑網(wǎng)站的用戶(hù)�,例如顯示技術(shù)支持詐騙信息���,進(jìn)行廣告欺詐�����,欺騙用戶(hù)轉向購買(mǎi)虛假禮品卡的網(wǎng)頁(yè)��,或干脆直接提供惡意軟件��。
但是��,盡管技術(shù)社區一次又一次地報告了這個(gè)問(wèn)題[1, 2, 3, 4, 5, 6, 7]����,但原因不明的是���,問(wèn)題一直沒(méi)有修復��,騙子們一直很樂(lè )意濫用它��。
最新的濫用示例來(lái)自于今天再次報告該問(wèn)題的用戶(hù)��,登錄框跳出后����,其中一個(gè)正試圖強迫他安裝可疑 Firefox 擴展程序��。惡意頁(yè)面打開(kāi)了瀏覽器的全屏模式�,然后網(wǎng)頁(yè)跳出了虛假的 Windows 對話(huà)框(哪怕用戶(hù)正在使用 Linux)��。
因為這個(gè)登錄對話(huà)框的原因���,按 ESC 退出全屏或者點(diǎn)擊選項卡中的窗口的關(guān)閉按鈕都不起作用��,點(diǎn)擊登錄對話(huà)框的關(guān)閉按鈕或取消按鈕�����,就會(huì )重新出現對話(huà)框�,除非殺掉 Firefox 進(jìn)程問(wèn)題才會(huì )解決��。
Mozilla 是一個(gè)開(kāi)源項目���,他們沒(méi)有無(wú)限的資源來(lái)處理所有報告的問(wèn)題���,不過(guò)無(wú)論如何一個(gè)超過(guò) 11 年的安全隱患不應該被忽視�����。
?��。?a href="http://www.chemdevice.net">邯鄲網(wǎng)站建設)
