Злоумышленники активно эксплуатируют 11-летнюю уязвимость в Firefox
Вирусописатели, распространители рекламы и прочие мошенники активно используют уязвимость в браузере Mozilla Firefox для того, чтобы не дать пользователям уйти с вредоносных сайтов. Примечательно, речь идет не о какой-либо новой уязвимости или технике, а о проблеме известной еще с 2007 года, но до сих пор не исправленной.
Уязвимость заключается в следующем: преступники встраивают iframe в исходный код вредоносных сайтов, далее iframe отправляет запрос аутентификации на другой домен. В результате на вредоносном сайте отображается диалоговое окно авторизации, которое появляется повторно при каждой попытке его закрыть. В итоге пользователям приходится закрывать браузер и начинать сеанс заново.
Несмотря на многочисленные уведомления о проблеме, за 11 лет разработчики Firefox по каким-то причинам так и не устранили ее. Как результат: на багтрекере Bugzilla продолжают появляться сообщения от пользователей, столкнувшихся с подобной ситуацией.
“Сначала сайт открылся в полноэкранном режиме, появилось фальшивое диалоговое окно Windows (я использую Linux, поэтому знаю, что оно фальшивое). Оно попыталась заставить меня загрузить расширение. Далее я нажал ESC, чтобы выйти из полноэкранного режима, попытался нажать на кнопки “Закрыть” и “Отмена”, но безрезультатно, диалоговое окно появилось снова. Опция не разрешать установку расширения также оказалась нерабочей, единственным решением стало закрыть Firefox”, - гласит одно из свежих сообщений.
В браузерах Microsoft Edge и Google Chrome подобная проблема уже устранена. В Edge задержка между отображением диалоговых окон достаточно велика, чтобы пользователь успел закрыть вкладку или браузер, а разработчики Chrome перенесли окна авторизации на уровень вкладок, то есть вредоносное окно блокирует только вкладку, а не полностью браузер.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш