12月10日雷锋网报道 最近,ZDNet记者Catalin Cimpanu发现黑客正在滥用Firefox的一个漏洞进行长期 *** 诈骗行动。耐人寻味的是,该漏洞最早于2007年4月被反馈却至今也未被修复。如今,它已经“11岁”了。
对攻击者来说,利用该漏洞并不存在技术上的难关:只需要在源代码中嵌入一个恶意网站的iframe元素,就可以在另一个域上发出HTTP身份验证请求,如下所示:
iframe是HTML标签,作用是内嵌文档或者浮动的框架(FRAME),iframe元素会创建包含另外一个文档的内联框架(即行内框架)。简单来说,当用户通过Firefox浏览器打开恶意站点之后,网站会强制循环跳出“身份验证”提示框。
在过去几年里,恶意软件作者、广告刷手和诈骗者一直在滥用这个漏洞来吸引浏览恶意网站的用户。例如窗口弹出显示支持诈骗信息、诱导用户购买虚假礼品卡、作为前往虚假网站的入口甚至直接强制用户登录恶意网站。
雷锋网得知,每当用户试图离开网站时,恶意站点会循环触发全屏的“身份验证”窗口。即使用户关掉一个又会立刻弹出另一个,按ESC退出全屏窗口依然不起作用,唯一的办法就是彻底关闭浏览器。
为何Firefox工程师没有及时修复漏洞呢?
在雷锋网看来,漏洞在11年内尚未得到修复,这与Mozilla 属于开源项目有着某些关联。Catalin Cimpanu说:“也许Firefox工程师没有无限资源来处理这些被报告出来的问题,但这11年中,更多不法分子采用这一漏洞带来的便利条件对用户实施各种 *** 攻击。”
从用户反馈中看出,多数人建议Firefox团队学习Edge和Chrome处理类似情况时采用的解决方案:
Edge:Edge中身份验证窗口的弹出时间延迟很长,用户有足够的时间可以关闭页面或浏览器。
Chrome:身份验证弹窗被变成了位于浏览器上部的选项卡按钮,这种设计将浏览器页面与身份验证弹窗分割开,用户可以在不关闭网页的情况下轻松关闭被滥用的选项卡。
类似情况并非首例,2017年8月,一个匿名的安全研究人员通过Beyongd Security的SecuriTeam安全披露计划向谷歌告知了一个安全漏洞,但谷歌方面的回应并不是计划解决该RCE漏洞问题,因为它不会影响到现行版本的Chrome 60。
数据显示,当时使用Chrome浏览器的总体市场份额约为59%,其中,Chrome 60版本的市场份额占据了50%,这就意味着,有10%的用户更容易遭遇RCE漏洞带来的包括广告软件、恶意Chrome扩展、技术欺诈在内的多种影响。
当然,谷歌并未对漏洞置之不理,其处理 *** 是直接将设备中的Chrome浏览器全部更新到最新Chrome 60版本。可见,谷歌不再支持旧版本浏览器,而是希望以Chrome 60版本为起点进行新一轮的打磨。
微信误删挚友该怎么办?教你一分钟迅速找到!在如今职业生涯中手机微信已经是每个人不可或缺的一款APP专用工具了,很多人微信密友里衬都包括了很多种类的挚友如同事儿朋友、同犯、亲朋好友这些这类的,若是因为手...
秦始皇死时仅五十岁(前259年—前210年);因病归天。秦始皇最后一次出巡时,在半路得了病。他隐讳“死”字,群臣谁也不敢说死的事。当走到沙丘平台时,秦始皇。 我很是喜欢汗青曹雅雯,但我不知道秦...
本文目录一览:...
现在“充话费送手机”业务已经十分普遍,可有些人得了手机后不想按照服务协议上的约定进行最低消费,自行停了业务,这样的情况下,该赔多少钱? 一、先来看看相关法律法规的规定。 《电信条例》第三十...
没事的时候可以多赚点外快,反正闲着也是闲着。 今天,time就给大家盘点10个赚外快的小方法。 其实每一个操作的门槛都不高,关键是看个人的执行力了。最忌讳的就是大钱赚不到,小钱看不上。 在执行过...
本文导读目录: 1、黑客怎么进入别人的电脑? 2、看黑客是怎样入侵别人电脑的 3、有一款软件是只要知道账号不用密码就可以登录别人王者的软件是哪一款, 4、可以用什么软件入侵别人的电脑?...