Firefox 使用者留意!11 年未解 Bug 被用来强迫登陆

Sunbet官网 1年前 (2018-12-11) 新闻动态 238 0

   

外媒 ZDNet 发明骇客正在滥用Firefox的一个破绽举行临时网路欺骗。但该破绽最早于2007年4月被反应却至今也未被修复。现在,它曾经「11岁」了。

对进击者来讲,应用该破绽其实不存在手艺上的难关:只需要在原始码中嵌入一个歹意网站的iframe元件,就能够在另一个网域上发出HTTP身份验证要求,以下所示:

iframe是HTML标签,作用是内嵌原始码或许浮动的框架(FRAME),iframe元件会建立包罗别的一个原始码的内联框架(即行内框架)。简朴来讲,当运用者经由过程Firefox阅读器翻开歹意网站以后,网站会强迫轮回跳出「身份验证」提示框。

为什么Firefox工程师没有立即修复破绽呢?这与Mozilla 属于开源项目有着某些联系关系。发明这项破绽的Catalin Cimpanu说:「或许Firefox工程师没有有限资本来处置惩罚这些被报告出来的题目,只是这11年中,更多不法分子接纳这破绽带来的方便前提对运用者实行种种网路进击。」

从运用者反应中看出,多数人发起Firefox团队进修Edge和Chrome处置惩罚相似状况时接纳的处理方案:

Edge:Edge中身份验证窗口的弹出时候延迟很长,运用者有充足的时候能够封闭页面或阅读器。

Chrome:身份验证弹窗被变成了位于阅读器上部的选项卡按钮,这类设想将阅读器页面与身份验证弹窗分割开,运用者能够在不封闭网页的状况下轻松封闭被滥用的选项卡。

相似状况并不是首例,2017年8月,一个匿名的平安研究人员经由过程Beyongd Security的SecuriTeam平安表露设计向Google告知了一个平安破绽,但Google方面的回应并不是设计处理该RCE破绽题目,由于它不会影响到现行版本的Chrome 60。

在曩昔几年中,歹意软体作者、告白刷手和欺骗者一直在滥用这个破绽来吸收阅读歹意网站的运用者。比方窗口弹出显现欺骗资讯、引诱运用者购置子虚礼物卡、作为前去子虚网站进口以至间接强迫运用者登录歹意网站。

每当运用者试图脱离网站时,歹意网站会轮回触发全萤的「身份验证」窗口。纵然运用者关掉一个又会马上弹出另一个,按ESC加入全萤窗口依旧不起作用,独一的设施就是完全封闭阅读器。

数据显现,事先运用Chrome阅读器的整体市场份额约为59%,个中,Chrome 60版本的市场份额占有了50%,这就意味着,有10%的运用者更轻易遭受RCE破绽带来的包孕告白软体、歹意Chrome扩大、手艺敲诈在内的多种影响。

固然,Google并未对破绽置之度外,其处置惩罚要领是间接将装备中的Chrome阅读器悉数更新到最新Chrome 60版本。可见,Google不再支撑旧版本阅读器,而是愿望以Chrome 60版本为出发点举行新一轮修改。


Allbet声明:该文看法仅代表作者自己,与本平台无关。转载请注明:Firefox 使用者留意!11 年未解 Bug 被用来强迫登陆

网友评论

  • (*)

最新评论

站点信息

  • 文章总数:1627
  • 页面总数:1
  • 分类总数:6
  • 标签总数:907
  • 评论总数:112
  • 浏览总数:165081