Firefox被曝出一个11年未修复的漏洞

2018-09-10 21:23高枫
计算机与网络 2018年24期
关键词:身份验证源代码漏洞

高枫

近日,据ZDNet报道,恶意软件制作者正在濫用Firefox的一个漏洞来诱骗用户。耐人寻味的是,该漏洞最早于2007年4月被反馈,且后续也有多次被反馈,却不知出于什么原因,迟迟未被修复。

该漏洞的利用并不困难,只需在源代码中嵌入一个恶意网站的iframe,就可以在另一个域上发出HTTP身份验证请求,从而让iframe在恶意站点上显示身份验证模式,如下所示。

在过去几年里,恶意软件作者、诈骗者一直在滥用这个漏洞来吸引浏览恶意网站的用户,例如显示技术支持诈骗信息,诱导用户购买虚假的礼品卡、前往虚假的技术协助网站,或直接引导用户跳转至恶意软件网站。

每当用户试图离开时,这些恶意站点的所有者会循环触发全屏的身份验证模式。用户关掉一个,又会弹出另一个,按ESC退出全屏和窗口的关闭按钮均不起作用,直到用户通过进程彻底关闭浏览器。

ZDNet评论道,尽管Mozilla是开源的项目,没有无限的资源处理所有报告出来的问题。但是,在这漫长的11年里,Firefox的工程师理应能抽出一点时间来处理此问题,甚至可以参考Chrome和Edge等其他浏览器的处理方式。

猜你喜欢
身份验证源代码漏洞
漏洞
基于TXL的源代码插桩技术研究
侦探推理游戏(二)
声纹识别认证云落户贵州
保护好自己的“源代码”
基于Windows下的文件保密隐藏系统的设计与实现
解密别克安全“源代码”
漏洞在哪儿
视频、Office漏洞相继爆发