惡意軟件作者和詐騙者已經(jīng)濫用了一個(gè) Firefox 當(dāng)中的錯(cuò)誤來捕獲惡意網(wǎng)站上的用戶信息已有 11 年。網(wǎng)絡(luò)中充滿惡意網(wǎng)站并不令人奇怪，但這些欺詐網(wǎng)站當(dāng)中會(huì)有一些聰明的家伙利用瀏覽器廠商疏忽而實(shí)現(xiàn)的“小技巧”騙倒不少人，事實(shí)上這一問題自 2007 年 4 月就被首次報(bào)道，而到現(xiàn)在都沒有被修復(fù)。

　　該漏洞的利用并不困難，只需要在源代碼中嵌入一個(gè)惡意的 iframe，就可以實(shí)現(xiàn)在另一個(gè)域上發(fā)出 HTTP 身份驗(yàn)證請(qǐng)求，這導(dǎo)致 iframe 在惡意站點(diǎn)上顯示身份驗(yàn)證模式，如下所示：

　　在過去的幾年里，惡意軟件作者，詐騙者一直在濫用這個(gè)漏洞來吸引被黑網(wǎng)站的用戶，例如顯示技術(shù)支持詐騙信息，進(jìn)行廣告欺詐，欺騙用戶轉(zhuǎn)向購(gòu)買虛假禮品卡的網(wǎng)頁，或干脆直接提供惡意軟件。

　　但是，盡管技術(shù)社區(qū)一次又一次地報(bào)告了這個(gè)問題[1, 2, 3, 4, 5, 6, 7]，但原因不明的是，問題一直沒有修復(fù)，騙子們一直很樂意濫用它。

　　最新的濫用示例來自于今天再次報(bào)告該問題的用戶，登錄框跳出后，其中一個(gè)正試圖強(qiáng)迫他安裝可疑 Firefox 擴(kuò)展程序。惡意頁面打開了瀏覽器的全屏模式，然后網(wǎng)頁跳出了虛假的 Windows 對(duì)話框(哪怕用戶正在使用 Linux)。

　　因?yàn)檫@個(gè)登錄對(duì)話框的原因，按 ESC 退出全屏或者點(diǎn)擊選項(xiàng)卡中的窗口的關(guān)閉按鈕都不起作用，點(diǎn)擊登錄對(duì)話框的關(guān)閉按鈕或取消按鈕，就會(huì)重新出現(xiàn)對(duì)話框，除非殺掉 Firefox 進(jìn)程問題才會(huì)解決。

　　Mozilla 是一個(gè)開源項(xiàng)目，他們沒有無限的資源來處理所有報(bào)告的問題，不過無論如何一個(gè)超過 11 年的安全隱患不應(yīng)該被忽視。
　　（邯鄲網(wǎng)站建設(shè)）

微軟擁抱Chrome是它獻(xiàn)給W...

微軟面向IT管理員發(fā)布Sur...