Nul
Malware forfattere, ad landmænd, og svindlere misbruger en Firefox fejl at fælde brugere på ondsindede websteder.
Dette ville ikke være en big deal, da internettet er fyldt med denne slags ondsindede websteder, men disse hjemmesider er ikke misbruger nogle nye aldrig-før-set trick, men en Firefox fejl, at Mozilla ingeniører synes at have undladt at rette i de 11 år, lige siden det først blev rapporteret tilbage i April 2007.
Fejlen indsnævrer til en ondsindet hjemmeside for at indlejre en iframe inde i deres kildekode. Iframe gør en HTTP-anmodning om godkendelse på et andet domæne. Dette resulterer i den iframe, der viser en godkendelse modal på ondsindet websted, som vist nedenfor.
I de sidste par år, malware forfattere, ad landmænd, og svindlere har været misbruger denne fejl til at lokke brugere på steder, hvor de viser alle mulige nasties, såsom teknisk support svindel, ad gårde, der genindlæs siden med nye annoncer i en løkke, sider at presse brugerne til at købe falske gavekort, eller websteder, der tilbyder malware-snøret software opdateringer.
Når brugere forsøger at forlade, ejerne af disse skyggefulde steder udløse modal autentifikation i en løkke. Hver gang brugeren afviser det, en anden anmodning er fremsat, og en ny modal vises, effektivt at holde brugeren fanget på skadelige websteder, indtil de lukke browseren helt, og er tvunget til at starte en ny browsersession.
Men på trods af at være rapporteret igen og igen for syv andre gange [1, 2, 3, 4, 5, 6, 7], dette emne er gået løs, af ukendte årsager, og skurke med glæde have misbrugt det hele denne gang.
Det seneste eksempel på misbrug kommer fra en bruger, der rapporterede spørgsmålet igen i dag, efter landing på en af disse skyggefulde steder, der har forsøgt at tvinge ham til at installere en mistænkelig Firefox-udvidelse.
“I første omgang er det åbnes i fuld skærm. Med nogle falske Windows-dialogboksen (jeg bruger Linux, så jeg ved, at det er falsk),” brugeren sagde. “Det forsøgt at [kraft] mig med at installere deres udvidelser.”
“Så jeg trykker på ESC for at afslutte fuld skærm. Jeg klikker på knappen luk fane eller et vindue, men det virker ikke, fordi det er denne login-dialog. I klik på luk-knappen på login-dialogen eller annuller. Derefter dialogboksen vises igen. Jeg klikker “tillad ikke” – knappen for forlængelse installation pop over, men det synes ikke klikbare. Jeg dræbte Firefox proces, som er den eneste løsning for mig.”
Billede: Guo YunheSikker på, Mozilla er en open source-projekt, og det har ikke ubegrænsede ressourcer til at håndtere alle de indberettede problemer, men man skulle tro, at efter mere end 11 år, en Firefox ingeniør ville finde tid til at lave et aktivt udnyttet spørgsmål.
Baseret på den feedback, der er efterladt af andre brugere, om det rapporterede problem, Firefox holdets bedste bud er at følge, hvordan Kant og Chrome har beskæftiget sig med samme emne.
Kant: forsinkelse mellem godkendelse modals i Kanten er stor nok til at give brugeren lukker fane eller browser.
Chrome: dialogvinduet for godkendelse er blevet flyttet fra browservinduet niveau til hver fane niveau. Dette betyder, at den aggressive godkendelse dialoger kun blokerer, fane, og ikke hele browsere, som giver brugeren mulighed for nemt at nære det misbrug, tab.
Mere browser nyheder:
Google frigiver Chrome 71 med fokus på sikkerhed harGoogle Chrome 71 vil fortsat slår hårdt ned på sites med misbrug annoncerChrome 71 vil advare brugerne om, at hjemmesider med skyggefulde telefon abonnement formerGoogle er raiding Firefox til Chrome ‘ s næste UI harMozilla vil matche alle donationer til Tor-ProjektetVersion 2.0 bringer Vivaldi web-browser, indbygget med den konkurrence, TechRepublicMozilla Firefox giver Fokus til en browser-hjerne transplantation på Android CNETindustrispionage frygt opstår på Chrome-udvidelse taget i at stjæle browserdata
Relaterede Emner:
Open Source
Sikkerhed-TV
Data Management
CXO
Datacentre
0