Firefox 使用者注意!11 年未解 Bug 被用來強制登入

為何 Firefox 工程師沒有即時修復漏洞呢?這與Mozilla 屬於開源項目可能有點關聯。
評論
評論

本文來自合作媒體雷鋒網,INSIDE授權轉載

外媒 ZDNet 發現駭客正在濫用Firefox的一個漏洞進行長期網路詐騙。但該漏洞最早於2007年4月被反饋卻至今也未被修復。如今,它已經「11歲」了。

對攻擊者來說,利用該漏洞並不存在技術上的難關:只需要在原始碼中嵌入一個惡意網站的iframe元件,就可以在另一個網域上發出HTTP身份驗證請求,如下所示:

5c0e3969e260f

iframe是HTML標籤,作用是內嵌原始碼或者浮動的框架(FRAME),iframe元件會創建包含另外一個原始碼的內聯框架(即行內框架)。簡單來說,當使用者通過Firefox瀏覽器打開惡意網站之後,網站會強制循環跳出「身份驗證」提示框。

在過去幾年中,惡意軟體作者、廣告刷手和詐騙者一直在濫用這個漏洞來吸引瀏覽惡意網站的使用者。例如窗口彈出顯示詐騙資訊、誘導使用者購買虛假禮品卡、作為前往虛假網站入口甚至直接強制使用者登錄惡意網站。

每當使用者試圖離開網站時,惡意網站會循環觸發全螢的「身份驗證」窗口。即使使用者關掉一個又會立刻彈出另一個,按ESC退出全螢窗口依然不起作用,唯一的辦法就是徹底關閉瀏覽器。

為何Firefox工程師沒有即時修復漏洞呢?這與Mozilla 屬於開源項目有著某些關聯。發現這項漏洞的Catalin Cimpanu說:「也許Firefox工程師沒有無限資源來處理這些被報告出來的問題,只是這11年中,更多不法分子採用這漏洞帶來的便利條件對使用者實施各種網路攻擊。」

從使用者反饋中看出,多數人建議Firefox團隊學習Edge和Chrome處理類似情況時採用的解決方案:

Edge:Edge中身份驗證窗口的彈出時間延遲很長,使用者有足夠的時間可以關閉頁面或瀏覽器。

Chrome:身份驗證彈窗被變成了位於瀏覽器上部的選項卡按鈕,這種設計將瀏覽器頁面與身份驗證彈窗分割開,使用者可以在不關閉網頁的情況下輕鬆關閉被濫用的選項卡。

類似情況並非首例,2017年8月,一個匿名的安全研究人員通過Beyongd Security的SecuriTeam安全披露計劃向Google告知了一個安全漏洞,但Google方面的回應並不是計劃解決該RCE漏洞問題,因為它不會影響到現行版本的Chrome 60。

數據顯示,當時使用Chrome瀏覽器的總體市場份額約為59%,其中,Chrome 60版本的市場份額佔據了50%,這就意味著,有10%的使用者更容易遭遇RCE漏洞帶來的包括廣告軟體、惡意Chrome擴展、技術欺詐在內的多種影響。

當然,Google並未對漏洞置之不理,其處理方法是直接將設備中的Chrome瀏覽器全部更新到最新Chrome 60版本。可見,Google不再支持舊版本瀏覽器,而是希望以Chrome 60版本為起點進行新一輪修正。



精選熱門好工作

行銷協理

數字銀河股份有限公司
臺北市.台灣

獎勵 NT$15,000

Software Automation Test (Dev. Team) 自動化測試工程師

樂購蝦皮股份有限公司
臺北市.台灣

獎勵 NT$15,000

品牌行銷人員

魔髮部屋
臺北市.台灣

獎勵 NT$15,000