高楓

近日，據(jù)ZDNet報(bào)道，惡意軟件制作者正在濫用Firefox的一個(gè)漏洞來(lái)誘騙用戶。耐人尋味的是，該漏洞最早于2007年4月被反饋，且后續(xù)也有多次被反饋，卻不知出于什么原因，遲遲未被修復(fù)。

該漏洞的利用并不困難，只需在源代碼中嵌入一個(gè)惡意網(wǎng)站的iframe，就可以在另一個(gè)域上發(fā)出HTTP身份驗(yàn)證請(qǐng)求，從而讓iframe在惡意站點(diǎn)上顯示身份驗(yàn)證模式，如下所示。

在過(guò)去幾年里，惡意軟件作者、詐騙者一直在濫用這個(gè)漏洞來(lái)吸引瀏覽惡意網(wǎng)站的用戶，例如顯示技術(shù)支持詐騙信息，誘導(dǎo)用戶購(gòu)買虛假的禮品卡、前往虛假的技術(shù)協(xié)助網(wǎng)站，或直接引導(dǎo)用戶跳轉(zhuǎn)至惡意軟件網(wǎng)站。

每當(dāng)用戶試圖離開(kāi)時(shí)，這些惡意站點(diǎn)的所有者會(huì)循環(huán)觸發(fā)全屏的身份驗(yàn)證模式。用戶關(guān)掉一個(gè)，又會(huì)彈出另一個(gè)，按ESC退出全屏和窗口的關(guān)閉按鈕均不起作用，直到用戶通過(guò)進(jìn)程徹底關(guān)閉瀏覽器。

ZDNet評(píng)論道，盡管Mozilla是開(kāi)源的項(xiàng)目，沒(méi)有無(wú)限的資源處理所有報(bào)告出來(lái)的問(wèn)題。但是，在這漫長(zhǎng)的11年里，F(xiàn)irefox的工程師理應(yīng)能抽出一點(diǎn)時(shí)間來(lái)處理此問(wèn)題，甚至可以參考Chrome和Edge等其他瀏覽器的處理方式。