惡意軟件作者和詐騙者已經(jīng)濫用了一個 Firefox 當中的錯誤來捕獲惡意網(wǎng)站上的用戶信息已有 11 年�����。網(wǎng)絡(luò)中充滿惡意網(wǎng)站并不令人奇怪����,但這些欺詐網(wǎng)站當中會有一些聰明的家伙利用瀏覽器廠商疏忽而實現(xiàn)的“小技巧”騙倒不少人���,事實上這一問題自 2007 年 4 月就被首次報道��,而到現(xiàn)在都沒有被修復���。
該漏洞的利用并不困難,只需要在源代碼中嵌入一個惡意的 iframe����,就可以實現(xiàn)在另一個域上發(fā)出 HTTP 身份驗證請求,這導致 iframe 在惡意站點上顯示身份驗證模式��,如下所示:
在過去的幾年里,惡意軟件作者����,詐騙者一直在濫用這個漏洞來吸引被黑網(wǎng)站的用戶,例如顯示技術(shù)支持詐騙信息���,進行廣告欺詐�����,欺騙用戶轉(zhuǎn)向購買虛假禮品卡的網(wǎng)頁�����,或干脆直接提供惡意軟件�。
但是��,盡管技術(shù)社區(qū)一次又一次地報告了這個問題[1, 2, 3, 4, 5, 6, 7]�,但原因不明的是,問題一直沒有修復����,騙子們一直很樂意濫用它����。
最新的濫用示例來自于今天再次報告該問題的用戶����,登錄框跳出后��,其中一個正試圖強迫他安裝可疑 Firefox 擴展程序����。惡意頁面打開了瀏覽器的全屏模式,然后網(wǎng)頁跳出了虛假的 Windows 對話框(哪怕用戶正在使用 Linux)��。
因為這個登錄對話框的原因�����,按 ESC 退出全屏或者點擊選項卡中的窗口的關(guān)閉按鈕都不起作用����,點擊登錄對話框的關(guān)閉按鈕或取消按鈕,就會重新出現(xiàn)對話框���,除非殺掉 Firefox 進程問題才會解決�����。
Mozilla 是一個開源項目��,他們沒有無限的資源來處理所有報告的問題�,不過無論如何一個超過 11 年的安全隱患不應(yīng)該被忽視。
?。?a href="http://m.jinteng090.cn">邯鄲網(wǎng)站建設(shè))
