Mozilla Firefox，中文俗稱“火狐”（正式縮寫為Fx或fx，非正式縮寫為MF），是一個(gè)自由及開放源代碼的網(wǎng)頁(yè)瀏覽器，使用Gecko排版引擎，支持多種操作系統(tǒng)，如Windows、Mac OS X及GNU/Linux等。

據(jù) ZDNet 報(bào)道，惡意軟件制作者正在濫用 Firefox 的一個(gè)漏洞來誘騙用戶。耐人尋味的是，該漏洞最早于2007年4月被反饋，且后續(xù)也有多次被反饋，卻不知出于什么原因，遲遲未被修復(fù)。

該漏洞的利用并不困難，只需在源代碼中嵌入一個(gè)惡意網(wǎng)站的 iframe ，就可以在另一個(gè)域上發(fā)出 HTTP 身份驗(yàn)證請(qǐng)求，從而讓 iframe 在惡意站點(diǎn)上顯示身份驗(yàn)證模式，如下所示：

在過去幾年里，惡意軟件作者、詐騙者一直在濫用這個(gè)漏洞來吸引瀏覽惡意網(wǎng)站的用戶，例如顯示技術(shù)支持詐騙信息，誘導(dǎo)用戶購(gòu)買虛假的禮品卡、前往虛假的技術(shù)協(xié)助網(wǎng)站，或直接引導(dǎo)用戶跳轉(zhuǎn)至惡意軟件網(wǎng)站。

每當(dāng)用戶試圖離開時(shí)，這些惡意站點(diǎn)的所有者會(huì)循環(huán)觸發(fā)全屏的身份驗(yàn)證模式。用戶關(guān)掉一個(gè)，又會(huì)彈出另一個(gè)，按 ESC 退出全屏和窗口的關(guān)閉按鈕均不起作用，直到他們通過進(jìn)程徹底關(guān)閉瀏覽器。

ZDNet 評(píng)論道，盡管 Mozilla 是開源的項(xiàng)目，沒有無限的資源處理所有報(bào)告出來的問題;但是，在這漫長(zhǎng)的11年里，F(xiàn)irefox 的工程師理應(yīng)能抽出一點(diǎn)時(shí)間來處理此問題，甚至是可以參考 Chrome 和 Edge 等其他瀏覽器的處理方式。

cc

收藏 海報(bào)分享