域名频道资讯站该漏洞的利用并不困难,只需要在源代码中嵌入一个恶意网站的iframe,就可以实现在另一个域上发出HTTP身份验证请求,这导致iframe在恶意站点上显示身份验证模式,如下所示:
在过去的几年里,恶意软件作者,诈骗者一直在滥用这个漏洞来吸引被黑网站的用户,例如显示技术支持诈骗信息,进行广告欺诈,欺骗用户转向购买虚假礼品卡的网页,或干脆直接提供恶意软件。
但是,尽管技术社区一次又一次地报告了这个问题[1, 2, 3, 4, 5, 6, 7],但原因不明的是,问题一直没有修复,骗子们一直很乐意滥用它。
最新的滥用示例来自于今天再次报告该问题的用户,登录框跳出后,其中一个正试图强迫他安装可疑Firefox扩展程序。恶意页面打开了浏览器的全屏模式,然后网页跳出了虚假的Windows对话框(哪怕用户正在使用Linux)。
因为这个登录对话框的原因,按ESC退出全屏或者点击选项卡中的窗口的关闭按钮都不起作用,点击登录对话框的关闭按钮或取消按钮,就会重新出现对话框,除非杀掉Firefox进程问题才会解决。
Mozilla是一个开源项目,他们没有无限的资源来处理所有报告的问题,不过无论如何一个超过11年的安全隐患不应该被忽视。
本文素材来自互联网
