高楓

近日，據(jù)ZDNet報道，惡意軟件制作者正在濫用Firefox的一個漏洞來誘騙用戶。耐人尋味的是，該漏洞最早于2007年4月被反饋，且后續(xù)也有多次被反饋，卻不知出于什么原因，遲遲未被修復(fù)。

該漏洞的利用并不困難，只需在源代碼中嵌入一個惡意網(wǎng)站的iframe，就可以在另一個域上發(fā)出HTTP身份驗(yàn)證請求，從而讓iframe在惡意站點(diǎn)上顯示身份驗(yàn)證模式，如下所示。

在過去幾年里，惡意軟件作者、詐騙者一直在濫用這個漏洞來吸引瀏覽惡意網(wǎng)站的用戶，例如顯示技術(shù)支持詐騙信息，誘導(dǎo)用戶購買虛假的禮品卡、前往虛假的技術(shù)協(xié)助網(wǎng)站，或直接引導(dǎo)用戶跳轉(zhuǎn)至惡意軟件網(wǎng)站。

每當(dāng)用戶試圖離開時，這些惡意站點(diǎn)的所有者會循環(huán)觸發(fā)全屏的身份驗(yàn)證模式。用戶關(guān)掉一個，又會彈出另一個，按ESC退出全屏和窗口的關(guān)閉按鈕均不起作用，直到用戶通過進(jìn)程徹底關(guān)閉瀏覽器。

ZDNet評論道，盡管Mozilla是開源的項(xiàng)目，沒有無限的資源處理所有報告出來的問題。但是，在這漫長的11年里，F(xiàn)irefox的工程師理應(yīng)能抽出一點(diǎn)時間來處理此問題，甚至可以參考Chrome和Edge等其他瀏覽器的處理方式。