「養」了 11 年!駭客濫用 Firefox「高齡」漏洞強制用戶輸入資訊

作者 | 發布日期 2018 年 12 月 11 日 15:50 | 分類 網路 , 資訊安全 follow us in feedly

最近,ZDNet 記者 Catalin Cimpanu 發現駭客在濫用 Firefox 一個漏洞進行長期網路詐騙。耐人尋味的是,漏洞最早於 2007 年 月回報,至今未被修復。如今,漏洞已「11 歲」了。

對攻擊者來說,利用漏洞並沒有技術困難:只需要在來源碼內嵌惡意網站的 iframe 元素,就可在另一個網域發出 HTTP 身分驗證要求,如下所示:

iframe 是 HTML 標籤,作用是內嵌檔案或者浮動的框架(frameiframe 元素會建立包含另外一個檔案的內聯框架(即行內框架)。簡單來說,當用戶透過 Firefox 開啟惡意網站後,網站會強制迴圈跳出「身分驗證」對話視窗。

過去幾年,惡意軟體作者、廣告刷手和詐騙者一直濫用這漏洞吸引瀏覽惡意網站的用戶。例如視窗顯示支援詐騙資訊、誘導用戶購買虛假禮品卡、當作虛假網站的進入點甚至直接強制用戶登入惡意網站。

每當用戶嘗試離開網站,惡意網站會迴圈觸發全螢幕「身分驗證」視窗。即使用戶關掉一個又會立刻跳出另一個,按 ESC 結束全螢幕視窗依然沒用,唯一的辦法就是關掉瀏覽器。

為何 Firefox 工程師沒有修復漏洞?

漏洞 11 年都未修復,這與 Mozilla 屬於開源計畫有某些關聯。Catalin Cimpanu 說:「也許 Firefox 工程師沒有無限資源來處理這些回報的問題,但 11 年中,更多不法分子用漏洞帶來的便利條件對用戶各種網路攻擊。」

從用戶回報看出,多數人建議 Firefox 團隊學習 Edge 和 Chrome 處理類似情況的解決方案:

EdgeEdge 身分驗證視窗的跳出時間延遲很久,用戶有足夠時間可關閉頁面或瀏覽器。

Chrome身分驗證彈窗變成分頁,這種設計將瀏覽器頁面與身分驗證視窗分開,用戶可在不關閉瀏覽器的情況下輕鬆關閉被濫用的分頁。

類似情況並非首例,2017 年 月,匿名的安全研究人員透過 Beyongd Security 的 SecuriTeam 安全披露計畫向 Google 告知一個漏洞,但 Google 回應並不是計劃解決該 RCE 漏洞問題,因為它不會影響到現行版的 Chrome 60

資料顯示,當時 Chrome 總體市占率約 59%Chrome 60 版市占率為 50%,意味著 10% 用戶更容易遇到 RCE 漏洞造成的廣告軟體、惡意 Chrome 延伸、技術欺詐等多種影響。

當然,Google 並未對漏洞置之不理,處理方法是直接將裝置的 Chrome 瀏覽器全部更新到最新 Chrome 60 版。可見,Google 不再支援舊版瀏覽器,是希望以 Chrome 60 版為起點再進化。

(本文由 雷鋒網 授權轉載;首圖來源:shutterstock)