被 养11年!黑客滥用Firefox 高龄漏洞强制用户输入信息

访客3年前黑客资讯547

12月10日雷锋网报道 最近,ZDNet记者Catalin Cimpanu发现黑客正在滥用Firefox的一个漏洞进行长期 *** 诈骗行动。耐人寻味的是,该漏洞最早于2007年4月被反馈却至今也未被修复。如今,它已经“11岁”了。

对攻击者来说,利用该漏洞并不存在技术上的难关:只需要在源代码中嵌入一个恶意网站的iframe元素,就可以在另一个域上发出HTTP身份验证请求,如下所示:

iframe是HTML标签,作用是内嵌文档或者浮动的框架(FRAME),iframe元素会创建包含另外一个文档的内联框架(即行内框架)。简单来说,当用户通过Firefox浏览器打开恶意站点之后,网站会强制循环跳出“身份验证”提示框。

在过去几年里,恶意软件作者、广告刷手和诈骗者一直在滥用这个漏洞来吸引浏览恶意网站的用户。例如窗口弹出显示支持诈骗信息、诱导用户购买虚假礼品卡、作为前往虚假网站的入口甚至直接强制用户登录恶意网站。

雷锋网得知,每当用户试图离开网站时,恶意站点会循环触发全屏的“身份验证”窗口。即使用户关掉一个又会立刻弹出另一个,按ESC退出全屏窗口依然不起作用,唯一的办法就是彻底关闭浏览器。

为何Firefox工程师没有及时修复漏洞呢?

在雷锋网看来,漏洞在11年内尚未得到修复,这与Mozilla 属于开源项目有着某些关联。Catalin Cimpanu说:“也许Firefox工程师没有无限资源来处理这些被报告出来的问题,但这11年中,更多不法分子采用这一漏洞带来的便利条件对用户实施各种 *** 攻击。”

从用户反馈中看出,多数人建议Firefox团队学习Edge和Chrome处理类似情况时采用的解决方案:

Edge:Edge中身份验证窗口的弹出时间延迟很长,用户有足够的时间可以关闭页面或浏览器。

Chrome:身份验证弹窗被变成了位于浏览器上部的选项卡按钮,这种设计将浏览器页面与身份验证弹窗分割开,用户可以在不关闭网页的情况下轻松关闭被滥用的选项卡。

类似情况并非首例,2017年8月,一个匿名的安全研究人员通过Beyongd Security的SecuriTeam安全披露计划向谷歌告知了一个安全漏洞,但谷歌方面的回应并不是计划解决该RCE漏洞问题,因为它不会影响到现行版本的Chrome 60。

数据显示,当时使用Chrome浏览器的总体市场份额约为59%,其中,Chrome 60版本的市场份额占据了50%,这就意味着,有10%的用户更容易遭遇RCE漏洞带来的包括广告软件、恶意Chrome扩展、技术欺诈在内的多种影响。

当然,谷歌并未对漏洞置之不理,其处理 *** 是直接将设备中的Chrome浏览器全部更新到最新Chrome 60版本。可见,谷歌不再支持旧版本浏览器,而是希望以Chrome 60版本为起点进行新一轮的打磨。

相关文章

越野车恶意碾压拖行致交警殉职 石光宇个人简历照片年仅32岁令人悲痛

越野车恶意碾压拖行致交警殉职 石光宇个人简历照片年仅32岁令人悲痛

2020年9月5日20时27分,内蒙古通辽市扎鲁特旗公安局执勤人员石光宇同志在开展严管严查重点交通违法行为统一行动时,被一辆超速行驶的越野车撞飞以身殉职,献出了年轻的生命,年仅32岁。 △内蒙古...

网站防止恶意攻击的方法(黑客必懂的技术)

网站防止恶意攻击的方法(黑客必懂的技术)

网站被恶意攻击,可以说网站就不好发展了。以前,只要网站被攻击,直接把程序给删除了,重新再做一个新网站,可是,做个新站后不久,还是会被恶意攻击。那么要如何防止网站被恶意攻击呢? 防止网站被恶意攻击...

拖欠农民工工资最高可获刑7年真的吗?恶意欠薪会受到哪些惩罚

10月30日上午,国新办就打击恶意欠薪犯罪有关情况举行新闻发布会。据最高人民法院研究室负责人周加海介绍,最高法为恶意欠薪犯罪设置了相对比较低的入罪门槛,拒不支付一名劳动者三个月以上的劳动报酬,数额在五...

商业恶意炒作是什么意思(从奶茶妹妹刘强东分

商业恶意炒作是什么意思(从奶茶妹妹刘强东分

10月24日,老司机局座张召忠微博开车啦!!说到局座,小编第一想到就是B站上那些鬼畜的视频,深谙网红之道的局座,不甘心于B站,终于将车开到了微博上,短短不到两天的时间,上车的粉丝就突破100W,而#局...

黑客教你盗快手号  [网络安全自学篇

这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了Web渗透的第一步工作,涉及网站信息、域名信息、端口信息、敏感信息及指纹...

解决百度推广恶意点击以及反攻击的方法!

解决百度推广恶意点击以及反攻击的方法!

最近很多朋友和我说起来关于网站百度推广被恶意点击的事情,对于这个事情很多老板会觉得很尴尬,这种点击几乎像寄生虫一样,又没办法完全的消除,最多也就是得到控制,其实对于类似的解决方案我这边也有,现在给大家...