被“养”11年！黑客滥用Firefox“高龄”漏洞强制用户输入信息

最近，ZDNet记者Catalin Cimpanu发现黑客正在滥用Firefox的一个漏洞进行长期网络诈骗行动。耐人寻味的是，该漏洞最早于2007年4月被反馈却至今也未被修复。如今，它已经“11岁”了。

对攻击者来说，利用该漏洞并不存在技术上的难关：只需要在源代码中嵌入一个恶意网站的iframe元素，就可以在另一个域上发出HTTP身份验证请求，如下所示：

iframe是HTML标签，作用是内嵌文档或者浮动的框架(FRAME)，iframe元素会创建包含另外一个文档的内联框架（即行内框架）。简单来说，当用户通过Firefox浏览器打开恶意站点之后，网站会强制循环跳出“身份验证”提示框。

在过去几年里，恶意软件作者、广告刷手和诈骗者一直在滥用这个漏洞来吸引浏览恶意网站的用户。例如窗口弹出显示支持诈骗信息、诱导用户购买虚假礼品卡、作为前往虚假网站的入口甚至直接强制用户登录恶意网站。

宅客频道得知，每当用户试图离开网站时，恶意站点会循环触发全屏的“身份验证”窗口。即使用户关掉一个又会立刻弹出另一个，按ESC退出全屏窗口依然不起作用，唯一的办法就是彻底关闭浏览器。

为何Firefox工程师没有及时修复漏洞呢？

漏洞在11年内尚未得到修复，这与Mozilla 属于开源项目有着某些关联。Catalin Cimpanu说：“也许Firefox工程师没有无限资源来处理这些被报告出来的问题，但这11年中，更多不法分子采用这一漏洞带来的便利条件对用户实施各种网络攻击。”

从用户反馈中看出，多数人建议Firefox团队学习Edge和Chrome处理类似情况时采用的解决方案：

Edge：Edge中身份验证窗口的弹出时间延迟很长，用户有足够的时间可以关闭页面或浏览器。

Chrome：身份验证弹窗被变成了位于浏览器上部的选项卡按钮，这种设计将浏览器页面与身份验证弹窗分割开，用户可以在不关闭网页的情况下轻松关闭被滥用的选项卡。

类似情况并非首例，2017年8月，一个匿名的安全研究人员通过Beyongd Security的SecuriTeam安全披露计划向谷歌告知了一个安全漏洞，但谷歌方面的回应并不是计划解决该RCE漏洞问题，因为它不会影响到现行版本的Chrome 60。

数据显示，当时使用Chrome浏览器的总体市场份额约为59%，其中，Chrome 60版本的市场份额占据了50%，这就意味着，有10%的用户更容易遭遇RCE漏洞带来的包括广告软件、恶意Chrome扩展、技术欺诈在内的多种影响。

当然，谷歌并未对漏洞置之不理，其处理方法是直接将设备中的Chrome浏览器全部更新到最新Chrome 60版本。可见，谷歌不再支持旧版本浏览器，而是希望以Chrome 60版本为起点进行新一轮的打磨。

www.zdnet.com

戳蓝字查看更多精彩内容 探索篇 ▼   暗网【上】|  暗网【下】 草榴社区 | 程序媛| 以图搜图 心脏滴血 | 撞库攻击 | 黑客猎人 刷票 | 人肉 | 炸群 | 内鬼 恶性病毒怼天怼地怼对手 真相篇 ▼ 这是一场针对高级知识分子的裸聊诈骗 打“农药”刷金币：我的队友原来是个机器人 黑客犯罪团伙"隐匿者"被扒皮，竟然是中国人 iPhone充电器可以当监听器？我到某宝试了下 当俄罗斯黑客遇到老虎机 发家致富？ 一个自动挖掘工具，能找到比核武器更可怕的漏洞 “老婆，开门”，隔壁老王带来的恐惧 无人机越狱? 资深女黑客一怒“打飞机” 自从安了智能门锁，家里闹妖精？ 中国安全圈真实薪资曝光 人物篇 ▼ 道哥：重回阿里的29个月 黑客老王：一个人的黑客史 吴石：站在0和1之间的男人 黑客衰大：45天攻入姑娘的心 黑客段子手“呆子不开口” “特斯拉破解第一人”刘健皓 唐青昊：虚拟世界的越狱者 MOSEC：盘古团队的野心优雅 让周鸿祎“三顾茅庐” 的 黑客 MJ 美女黑客张婉桥的“爱丽丝奇遇记” TK教主和玄武实验室的几个小故事 世界上最坚固的门轰塌后，如何再建 这个黑客在体内植入9块芯片后…… 更多精彩正在整理中……

---

“喜欢就赶紧关注我们”

宅客『Letshome』

雷锋网旗下业界报道公众号。

专注先锋科技领域，讲述黑客背后的故事。

长按下图二维码并识别关注