12月10日雷鋒網報導 最近,ZDNet記者Catalin Cimpanu發現黑客正在濫用Firefox的一個漏洞進行長期網絡詐騙行動。耐人尋味的是,該漏洞最早於2007年4月被反饋卻至今也未被修複。如今,它已經“11歲”了。
對攻擊者來說,利用該漏洞並不存在技術上的難關:只需要在源代碼中嵌入一個惡意網站的iframe元素,就可以在另一個域上發出HTTP身份驗證請求,如下所示:
iframe是HTML標簽,作用是內嵌文檔或者浮動的框架(FRAME),iframe元素會創建包含另外一個文檔的內聯框架(即行內框架)。簡單來說,當用戶通過Firefox瀏覽器打開惡意站點之後,網站會強製循環跳出“身份驗證”提示框。
在過去幾年裡,惡意軟體作者、廣告刷手和詐騙者一直在濫用這個漏洞來吸引瀏覽惡意網站的用戶。例如視窗彈出顯示支持詐騙資訊、誘導用戶購買虛假禮品卡、作為前往虛假網站的入口甚至直接強製用戶登錄惡意網站。
雷鋒網得知,每當用戶試圖離開網站時,惡意站點會循環觸發全屏的“身份驗證”視窗。即使用戶關掉一個又會立刻彈出另一個,按ESC退出全屏視窗依然不起作用,唯一的辦法就是徹底關閉瀏覽器。
為何Firefox工程師沒有及時修複漏洞呢?
在雷鋒網看來,漏洞在11年內尚未得到修複,這與Mozilla 屬於開源項目有著某些關聯。Catalin Cimpanu說:“也許Firefox工程師沒有無限資源來處理這些被報告出來的問題,但這11年中,更多不法分子採用這一漏洞帶來的便利條件對用戶實施各種網絡攻擊。”
從用戶反饋中看出,多數人建議Firefox團隊學習Edge和Chrome處理類似情況時採用的解決方案:
Edge:Edge中身份驗證視窗的彈出時間延遲很長,用戶有足夠的時間可以關閉頁面或瀏覽器。
Chrome:身份驗證彈窗被變成了位於瀏覽器上部的選項卡按鈕,這種設計將瀏覽器頁面與身份驗證彈窗分割開,用戶可以在不關閉網頁的情況下輕鬆關閉被濫用的選項卡。
類似情況並非首例,2017年8月,一個匿名的安全研究人員通過Beyongd Security的SecuriTeam安全披露計劃向谷歌告知了一個安全漏洞,但谷歌方面的回應並不是計劃解決該RCE漏洞問題,因為它不會影響到現行版本的Chrome 60。
數據顯示,當時使用Chrome瀏覽器的總體市場份額約為59%,其中,Chrome 60版本的市場份額佔據了50%,這就意味著,有10%的用戶更容易遭遇RCE漏洞帶來的包括廣告軟體、惡意Chrome擴展、技術欺詐在內的多種影響。
當然,谷歌並未對漏洞置之不理,其處理方法是直接將設備中的Chrome瀏覽器全部更新到最新Chrome 60版本。可見,谷歌不再支持舊版本瀏覽器,而是希望以Chrome 60版本為起點進行新一輪的打磨。
來源:ZDNet
香港九龍灣馬來街興發大廈15樓D室