最近,ZDNet 记者 Catalin Cimpanu 发现骇客在滥用 Firefox 一个漏洞进行长期网络诈骗。耐人寻味的是,漏洞最早于 2007 年 4 月回报,至今未被修复。如今,漏洞已“11 岁”了。
对攻击者来说,利用漏洞并没有技术困难:只需要在来源码内嵌恶意网站的 iframe 元素,就可在另一个网域发出 HTTP 身份验证要求,如下所示:
iframe 是 HTML 标签,作用是内嵌档案或者浮动的框架(frame),iframe 元素会建立包含另外一个档案的内联框架(即行内框架)。简单来说,当用户透过 Firefox 开启恶意网站后,网站会强制循环跳出“身份验证”对话视窗。
过去几年,恶意软件作者、广告刷手和诈骗者一直滥用这漏洞吸引浏览恶意网站的用户。例如视窗显示支援诈骗资讯、诱导用户购买虚假礼品卡、当作虚假网站的进入点甚至直接强制用户登入恶意网站。
每当用户尝试离开网站,恶意网站会循环触发全屏幕“身份验证”视窗。即使用户关掉一个又会立刻跳出另一个,按 ESC 结束全屏幕视窗依然没用,唯一的办法就是关掉浏览器。
为何 Firefox 工程师没有修复漏洞?
漏洞 11 年都未修复,这与 Mozilla 属于开源计划有某些关联。Catalin Cimpanu 说:“也许 Firefox 工程师没有无限资源来处理这些回报的问题,但 11 年中,更多不法分子用漏洞带来的便利条件对用户各种网络攻击。”
从用户回报看出,多数人建议 Firefox 团队学习 Edge 和 Chrome 处理类似情况的解决方案:
Edge:Edge 身份验证视窗的跳出时间延迟很久,用户有足够时间可关闭页面或浏览器。
Chrome:身份验证弹窗变成分页,这种设计将浏览器页面与身份验证视窗分开,用户可在不关闭浏览器的情况下轻松关闭被滥用的分页。
类似情况并非首例,2017 年 8 月,匿名的安全研究人员透过 Beyongd Security 的 SecuriTeam 安全披露计划向 Google 告知一个漏洞,但 Google 回应并不是计划解决该 RCE 漏洞问题,因为它不会影响到现行版的 Chrome 60。
资料显示,当时 Chrome 总体市占率约 59%,Chrome 60 版市占率为 50%,意味着 10% 用户更容易遇到 RCE 漏洞造成的广告软件、恶意 Chrome 延伸、技术欺诈等多种影响。
当然,Google 并未对漏洞置之不理,处理方法是直接将装置的 Chrome 浏览器全部更新到最新 Chrome 60 版。可见,Google 不再支援旧版浏览器,是希望以 Chrome 60 版为起点再进化。
- Malicious sites abuse 11-year-old Firefox bug that Mozilla failed to fix
(本文由 雷锋网 授权转载;首图来源:shutterstock)
