Mozilla Firefox，中文俗稱“火狐”（正式縮寫為Fx或fx，非正式縮寫為MF），是一個自由及開放源代碼的網(wǎng)頁瀏覽器，使用Gecko排版引擎，支持多種操作系統(tǒng)，如Windows、Mac OS X及GNU/Linux等。

據(jù) ZDNet 報道，惡意軟件制作者正在濫用 Firefox 的一個漏洞來誘騙用戶。耐人尋味的是，該漏洞最早于2007年4月被反饋，且后續(xù)也有多次被反饋，卻不知出于什么原因，遲遲未被修復。

該漏洞的利用并不困難，只需在源代碼中嵌入一個惡意網(wǎng)站的 iframe ，就可以在另一個域上發(fā)出 HTTP 身份驗證請求，從而讓 iframe 在惡意站點上顯示身份驗證模式，如下所示：

在過去幾年里，惡意軟件作者、詐騙者一直在濫用這個漏洞來吸引瀏覽惡意網(wǎng)站的用戶，例如顯示技術支持詐騙信息，誘導用戶購買虛假的禮品卡、前往虛假的技術協(xié)助網(wǎng)站，或直接引導用戶跳轉(zhuǎn)至惡意軟件網(wǎng)站。

每當用戶試圖離開時，這些惡意站點的所有者會循環(huán)觸發(fā)全屏的身份驗證模式。用戶關掉一個，又會彈出另一個，按 ESC 退出全屏和窗口的關閉按鈕均不起作用，直到他們通過進程徹底關閉瀏覽器。

ZDNet 評論道，盡管 Mozilla 是開源的項目，沒有無限的資源處理所有報告出來的問題;但是，在這漫長的11年里，F(xiàn)irefox 的工程師理應能抽出一點時間來處理此問題，甚至是可以參考 Chrome 和 Edge 等其他瀏覽器的處理方式。

cc

收藏 海報分享