Firefox被曝出一個已存在 11 年未修復的漏洞

原標題：Firefox被曝出一個已存在 11 年未修復的漏洞

　　據 ZDNet 報道，惡意軟體製作者正在濫用 Firefox 的一個漏洞來誘騙使用者。耐人尋味的是，該漏洞最早於2007年4月被反饋，且後續也有多次被反饋，卻不知出於什麼原因，遲遲未被修復。

該漏洞的利用並不困難，只需在原始碼中嵌入一個惡意網站的 e ，就可以在另一個域上發出 HTTP 身份驗證請求，從而讓 e 在惡意站點上顯示身份驗證模式，如下所示：

在過去幾年裡，惡意軟體作者、詐騙者一直在濫用這個漏洞來吸引瀏覽惡意網站的使用者，例如顯示技術支援詐騙資訊，誘導使用者購買虛假的禮品卡、前往虛假的技術協助網站，或直接引導使用者跳轉至惡意軟體網站。

每當使用者試圖離開時，這些惡意站點的所有者會迴圈觸發全屏的身份驗證模式。使用者關掉一個，又會彈出另一個，按 ESC 退出全屏和視窗的關閉按鈕均不起作用，直到他們通過程序徹底關閉瀏覽器。