Firefox使用者注意!11年未解Bug被用来强制登入
2020-06-07
Firefox使用者注意!11年未解Bug被用来强制登入

外媒 ZDNet 发现骇客正在滥用Firefox的一个漏洞进行长期网路诈骗。但该漏洞最早于2007年4月被反馈却至今也未被修复。如今,它已经「11岁」了。

对攻击者来说,利用该漏洞并不存在技术上的难关:只需要在原始码中嵌入一个恶意网站的iframe元件,就可以在另一个网域上发出HTTP身份验证请求,如下所示:

Firefox使用者注意!11年未解Bug被用来强制登入

iframe是HTML标籤,作用是内嵌原始码或者浮动的框架,iframe元件会创建包含另外一个原始码的内联框架。简单来说,当使用者通过Firefox浏览器打开恶意网站之后,网站会强制循环跳出「身份验证」提示框。

在过去几年中,恶意软体作者、广告刷手和诈骗者一直在滥用这个漏洞来吸引浏览恶意网站的使用者。例如窗口弹出显示诈骗资讯、诱导使用者购买虚假礼品卡、作为前往虚假网站入口甚至直接强制使用者登录恶意网站。

每当使用者试图离开网站时,恶意网站会循环触发全萤的「身份验证」窗口。即使使用者关掉一个又会立刻弹出另一个,按ESC退出全萤窗口依然不起作用,唯一的办法就是彻底关闭浏览器。

为何Firefox工程师没有即时修复漏洞呢?这与Mozilla 属于开源项目有着某些关联。发现这项漏洞的Catalin Cimpanu说:「也许Firefox工程师没有无限资源来处理这些被报告出来的问题,只是这11年中,更多不法分子採用这漏洞带来的便利条件对使用者实施各种网路攻击。」

从使用者反馈中看出,多数人建议Firefox团队学习Edge和Chrome处理类似情况时採用的解决方案:

Edge:Edge中身份验证窗口的弹出时间延迟很长,使用者有足够的时间可以关闭页面或浏览器。

Chrome:身份验证弹窗被变成了位于浏览器上部的选项卡按钮,这种设计将浏览器页面与身份验证弹窗分割开,使用者可以在不关闭网页的情况下轻鬆关闭被滥用的选项卡。

类似情况并非首例,2017年8月,一个匿名的安全研究人员通过Beyongd Security的SecuriTeam安全披露计划向Google告知了一个安全漏洞,但Google方面的回应并不是计划解决该RCE漏洞问题,因为它不会影响到现行版本的Chrome 60。

数据显示,当时使用Chrome浏览器的总体市场份额约为59%,其中,Chrome 60版本的市场份额佔据了50%,这就意味着,有10%的使用者更容易遭遇RCE漏洞带来的包括广告软体、恶意Chrome扩展、技术欺诈在内的多种影响。

当然,Google并未对漏洞置之不理,其处理方法是直接将设备中的Chrome浏览器全部更新到最新Chrome 60版本。可见,Google不再支持旧版本浏览器,而是希望以Chrome 60版本为起点进行新一轮修正。