Noll
Malware författare, ad jordbrukare, och bedragare som missbrukar en Firefox fel att fälla användare på skadliga webbplatser.
Detta skulle inte vara en big deal, eftersom webben är fylld med denna typ av skadliga webbplatser, men dessa webbplatser är inte missbruka några nya som aldrig tidigare sett trick, men en Firefox bugg som Mozilla ingenjörer verkar ha misslyckats med att fixa i 11 år ända sedan den först publicerades i April 2007.
Felet smalnar ner till en skadlig webbplats bädda in en iframe i deras källkod. Iframe är en HTTP-autentisering begäran om en annan domän. Detta resulterar i iframe som visar en autentisering modal på en skadlig webbplats, som den nedan.
Under de senaste åren, malware författare, ad jordbrukare, och bedragare som har missbrukat denna bugg för att lura användare på platser där de visar alla typer av obehagligheter, såsom teknisk support bedrägerier, ad gårdar att uppdatera sidan med nya annonser i en loop, sidor som driver användarna till att köpa falska presentkort, eller webbplatser som erbjuder malware-fast programvara uppdateringar.
När användare försöker att lämna, ägare av dessa skuggiga platser utlösa autentisering modal i en loop. Varje gång användaren avfärdar det, en annan begäran görs, och en ny modal visas ett effektivt sätt att hålla användaren fången på skadliga webbplatser tills de stänger webbläsaren helt och hållet, och är tvungen att starta en ny webbläsarsession.
Men trots att det rapporterats om och om igen för sju andra gånger [1, 2, 3, 4, 5, 6, 7], denna fråga har gått ofixerade, av okänd anledning, och skurkar har gärna missbrukat det hela den här gången.
Det senaste exemplet på missbruk kommer från en användare som rapporterade problemet än en gång i dag, efter landning på en av dessa skuggiga platser som försökte tvinga honom till att installera en misstänkt Firefox.
“Först är det öppnade helskärmsläge. Med några falska Windows-dialogrutan (jag använder Linux så jag vet att det är fejk),” säger användaren. “Det försökte [kraft] mig installera deras förlängningar.”
“Då jag trycker du på ESC om du vill avsluta helskärmsläget. Jag klickar på knappen stäng på fliken eller fönstret, men det fungerar inte eftersom det här inloggningsfönstret. Jag klickar på knappen stäng i dialogrutan logga in eller knappen avbryt. Då visas dialogrutan igen. Jag klickar på “tillåt inte” – knappen om förlängning installation pop över, men det verkar inte klickbar. Jag dödade Firefox process, som är den enda lösningen för mig.”
Bild: Guo YunheVisst, Mozilla är ett open source-projekt, och att det inte har obegränsade resurser för att hantera alla de rapporterade problemen, men man skulle kunna tro att efter mer än 11 år en Firefox-ingenjör skulle hitta tid för att fixa ett aktivt utnyttjas fråga.
Baserat på den feedback som lämnats av andra användare på det rapporterade problemet, Firefox lagets bästa insats är att följa hur Kanten och Chrome har behandlat samma fråga.
Kant: fördröjning mellan autentisering modals i Kanten är tillräckligt stor för att tillåta användaren att stänga fliken eller webbläsaren.
Chrome: autentisering dialogruta har flyttats från webbläsarfönstret nivå till varje flik. Detta innebär att den aggressiva autentisering dialoger, bara några kvarter fliken, och inte hela webbläsare, vilket gör att användaren enkelt kan stänga den aktuella fliken.
Mer webbläsare nyheter:
Google släpper Chrome 71 med fokus på säkerhet harGoogle Chrome 71 kommer att fortsätta angreppen på platser med kränkande annonserChrome 71 kommer att varna användare om webbplatser med skumma telefonabonnemang formerGoogle är räder Firefox till Chrome nästa UI harMozilla kommer att matcha alla donationer till Tor-ProjektetVersion 2.0 ger Vivaldi webbläsare inline med tävlingen TechRepublicMozilla ger Firefox Fokus en webbläsare hjärnan transplantation på Android CNETindustrispionage uppstår farhågor över Chrome extension påkommen med att stjäla historik
Relaterade Ämnen:
Öppen Källkod
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0