Nul
Auteurs van Malware, ad boeren en oplichters misbruik maken van een Firefox bug te vangen gebruikers op kwaadaardige sites.
Dit zou niet een big deal, als het web zit vol met dit soort kwaadaardige sites, maar deze websites zijn niet misbruik maken van een aantal nieuwe nooit-vóór-gezien truc, maar een Firefox bug die Mozilla ingenieurs lijken te hebben gefaald om vast te stellen in de 11 jaar sinds het werd voor het eerst vermeld in April 2007.
De bug versmalt naar een kwaadaardige website, het insluiten van een iframe binnen hun broncode. De iframe maakt een HTTP-authenticatie aanvragen op een ander domein. Dit resulteert in het iframe waarin een verificatie modale op de schadelijke website, zoals hieronder.
Voor de afgelopen jaren, auteurs van malware, ad boeren en oplichters zijn misbruik te maken van deze bug te lokken van gebruikers op de websites waar zij van toon allerlei fenomenen, zoals de technische support van oplichting, ad-bedrijven dat de pagina opnieuw te laden met nieuwe advertenties in een lus, pagina ‘ s die push gebruikers te kopen valse gift cards, of voor sites die malware-geregen software-updates.
Wanneer gebruikers proberen te verlaten, de eigenaren van deze schaduwrijke plaatsen leiden tot de identificatie modal in een lus. Elke keer dat de gebruiker er een verzoek is gedaan, en een nieuwe modale verschijnt, effectief houden van de gebruiker gevangen op de kwaadaardige sites totdat ze de browser sluit geheel, en zijn gedwongen om te beginnen met een nieuwe sessie.
Maar ondanks dat wordt gerapporteerd over en weer voor zeven andere tijden [1, 2, 3, 4, 5, 6, 7], dit probleem is gegaan niet vastgelegde, om onbekende redenen, en boeven hebben graag misbruikt het al die tijd.
Het meest recente voorbeeld van misbruik afkomstig is van een gebruiker die melden dat het probleem weer vandaag, na de landing op één van deze schaduwrijke plaatsen die probeerde hem te dwingen tot het installeren van een verdachte Firefox-extensie.
“Ten eerste, het is geopend en de modus volledig scherm. Met een aantal nep-Windows-dialoogvenster (ik gebruik Linux, dus ik weet dat het nep is),” de gebruiker heeft gezegd. “Het probeerde te [kracht] mij het installeren van de extensie.”
“En ik druk op ESC om te stoppen met het volledige scherm. Ik klik op de knop sluiten van een tabblad of venster, maar het werkt niet omdat het dit login scherm. Ik klik op de knop sluiten van het login-dialoogvenster of annuleren knop. Vervolgens wordt het dialoogvenster zal verschijnen. Ik op ‘niet toestaan’ knop van de installatie van de extensie meer dan de pop, maar het lijkt niet aanklikbaar. Ik doodde de Firefox-proces, dat is de enige oplossing voor mij.”
Afbeelding: Guo YunheZeker, Mozilla is een open source project, en het heeft geen onbeperkte middelen voor het verwerken van alle de gemelde problemen, maar je zou denken dat na meer dan 11 jaar een Firefox-ingenieur zou vinden de tijd om een actief misbruikt probleem.
Op basis van de feedback achtergelaten door andere gebruikers op het gemelde probleem, heeft het Firefox team de beste inzet is om te volgen hoe de Rand en Chrome hebben gedeeld met dit zelfde probleem.
Rand: De vertraging tussen verificatie modals in de Rand is groot genoeg om de gebruiker om het tabblad te sluiten of de browser.
Chrome: De authenticatie dialoog venster verplaatst is van de browser venster niveau van elk tabblad. Dit betekent dat de agressieve authenticatie dialogen op slechts een paar straten van het tabblad, en niet de hele browsers, zodat de gebruiker gemakkelijk in de buurt van het misbruik tabblad.
Meer browser nieuws:
Google releases Chrome 71 met een focus op security functiesvan Google Chrome 71 blijven aanvallen op websites met een onrechtmatige advertentiesChrome 71 waarschuwt gebruikers van websites met schaduwrijke telefoon abonnement formulierenGoogle is het overvallen van Firefox voor Chrome is het volgende UI functiesvan Mozilla komt overeen met alle giften aan het Tor-ProjectVersie 2.0 brengt Vivaldi web browser in lijn met de wedstrijd TechRepublicMozilla geeft Firefox Focus een browser hersenen transplantatie op Android CNETIndustriële spionage angsten ontstaan over Chrome-extensie betrapt op het stelen van browsegeschiedenis
Verwante Onderwerpen:
Open Source
Beveiliging TV
Data Management
CXO
Datacenters
0