Firefox 被曝出一个已存在 11 年未修复的漏洞

栏目: IT资讯 · 发布时间: 5年前

内容简介:据 ZDNet 报道,恶意软件制作者正在滥用 Firefox 的一个漏洞来诱骗用户。耐人寻味的是,该漏洞最早于2007年4月被反馈,且后续也有多次被反馈,却不知出于什么原因,迟迟未被修复。 该漏洞的利用并不困难,只需在源...

ZDNet 报道,恶意软件制作者正在滥用 Firefox 的一个漏洞来诱骗用户。耐人寻味的是,该漏洞最早于2007年4月被反馈,且后续也有多次被反馈,却不知出于什么原因,迟迟未被修复。

Firefox 被曝出一个已存在 11 年未修复的漏洞

该漏洞的利用并不困难,只需在源代码中嵌入一个恶意网站的 iframe ,就可以在另一个域上发出 HTTP 身份验证请求,从而让 iframe 在恶意站点上显示身份验证模式,如下所示:

Firefox 被曝出一个已存在 11 年未修复的漏洞

在过去几年里,恶意软件作者、诈骗者一直在滥用这个漏洞来吸引浏览恶意网站的用户,例如显示技术支持诈骗信息,诱导用户购买虚假的礼品卡、前往虚假的技术协助网站,或直接引导用户跳转至恶意软件网站。

每当用户试图离开时,这些恶意站点的所有者会循环触发全屏的身份验证模式。用户关掉一个,又会弹出另一个,按 ESC 退出全屏和窗口的关闭按钮均不起作用,直到他们通过进程彻底关闭浏览器。

Firefox 被曝出一个已存在 11 年未修复的漏洞

ZDNet 评论道,尽管 Mozilla 是开源的项目,没有无限的资源处理所有报告出来的问题;但是,在这漫长的11年里,Firefox 的工程师理应能抽出一点时间来处理此问题,甚至是可以参考 Chrome 和 Edge 等其他浏览器的处理方式。

编译自:ZDNet


【声明】文章转载自:开源中国社区 [http://www.oschina.net]


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

密码朋克

密码朋克

[澳] 朱利安·阿桑奇 / Gavroche / 中信出版社 / 2017-10 / 42.00元

互联网已经在世界各地掀起了革命,然而全面的打击也正在展开。随着整个社会向互联网迁移,大规模监控计划也正在向全球部署。我们的文明已经来到一个十字路口。道路的一边通往一个承诺“弱者要隐私,强 者要透明”的未来,而另一边则通往一个极权的互联网,在那里,全人类的权力被转移给不受问责的间谍机构综合体及其跨国公司盟友。 密码朋克是一群倡导大规模使用强密码术以保护我们的基本自由免遭攻击的活动家。维基解密的......一起来看看 《密码朋克》 这本书的介绍吧!

HTML 压缩/解压工具
HTML 压缩/解压工具

在线压缩/解压 HTML 代码

RGB CMYK 转换工具
RGB CMYK 转换工具

RGB CMYK 互转工具

HEX HSV 转换工具
HEX HSV 转换工具

HEX HSV 互换工具