Mozilla Firefox包含一個存在了11年的“驗證對話方塊”隱患

摘要： 惡意軟體作者和詐騙者已經濫用了一個Firefox當中的錯誤來捕獲惡意網站上的使用者資訊已有11年。網路中充滿惡意網站並不令人奇怪， 但這些欺詐網站當中會有一些聰明的傢伙利用瀏覽器廠商疏忽而實現的“小技巧”騙倒不少人，事實上這一問題自2007年4月就被首次報道，而到現在都沒有被修復。...

該漏洞的利用並不困難，只需要在原始碼中嵌入一個惡意 ofollow,noindex">網站 的iframe，就可以實現在另一個域上發出HTTP身份驗證請求，這導致iframe在惡意站點上顯示身份驗證模式，如下所示：

在過去的幾年裡，惡意軟體作者，詐騙者一直在濫用這個漏洞來吸引被黑網站的使用者，例如顯示技術支援詐騙資訊，進行廣告欺詐，欺騙使用者轉向購買虛假禮品卡的網頁，或乾脆直接提供惡意軟體。

但是，儘管技術社群一次又一次地報告了這個問題[ 1 , 2 , 3 , 4 , 5 , 6 , 7 ]，但原因不明的是，問題一直沒有修復，騙子們一直很樂意濫用它。

最新的濫用示例來自於今天再次報告該問題的使用者，登入框跳出後，其中一個正試圖強迫他安裝可疑Firefox擴充套件程式。惡意頁面打開了瀏覽器的全屏模式，然後網頁跳出了虛假的 Windows 對話方塊（哪怕使用者正在使用Linux）。

因為這個登入對話方塊的原因，按ESC退出全屏或者點選選項卡中的視窗的關閉按鈕都不起作用，點選登入對話方塊的關閉按鈕或取消按鈕，就會重新出現對話方塊，除非殺掉Firefox程序問題才會解決。

Mozilla是一個開源專案，他們沒有無限的資源來處理所有報告的問題，不過無論如何一個超過11年的安全隱患不應該被忽視。