恶意软件作者、广告发布者和骗子正在通过恶意网站滥用Firefox的一个漏洞来进行恶意活动。

恶意网站随处可见，并不新鲜，但如今，有些网站却使用着前所未有的手段进行恶意活动，利用的是Mozilla工程师11年来并未修复的 Firefox 漏洞(该漏洞首次披露是再2007年4月)。笔者看了下关于这个漏洞的说明，当时被披露时，认为该漏洞仅作DOS攻击，但近年来有人频繁反馈遭受该漏洞的恶意攻击（非DOS攻击）。

该漏洞很简单，就是在源码中嵌入有恶意网站的iframe标签，iframe会在跨域时进行HTTP身份验证请求，也就导致有iframe标签的恶意站点上会显示身份验证模式，如下所示：






在过去的几年里，恶意软件作者、广告商、诈骗者一直在滥用这个漏洞，例如技术诈骗，循环广告记载、欺骗用户在虚假网站购买礼品，或提供恶意软件更新的网站。

每当用户试图离开页面时，这些恶意站点会因JS脚本加载而循环触发身份验证模式。每次用户关闭页面时，都会发出另一个请求，并出现一个新的欺骗模式，有效地将用户留在恶意网站上。除非用户完全关闭浏览器，并启动新的浏览会话。

但是，尽管该漏洞被提交了七次，且出现的恶意利用都不同，但不知什么原因，厂商不修，骗子也很喜欢利用。

最新的恶意利用情况就是这次报告该问题的用户，该用户被骗进入一个恶意网站，该恶意网站强迫他安装可疑的Firefox插件。


“首先，它是打开全屏模式。有一些虚假的Windows对话框（我正在使用Linux，所以我知道它是假的），”用户说。“它试图[强迫]我安装他们的扩展程序。”

“然后我按ESC退出全屏。我点击选项卡或窗口的关闭按钮，但它不起作用。它有个登录对话框，我点击登录对话框的关闭按钮或取消按钮，随后会出现的对话框还需要点击。这时，扩展程序安装弹出，我点击“不允许”按钮，但似乎无法点击关闭。我只好杀死Firefox进程，才解决了它“





当然，Mozilla是一个开源项目，它没有大量资源来处理所有报告的问题。但经过11年多的时间了，Firefox工程师应该需要找个时间来修复这个长期被滥用的漏洞了。

基于其他用户对这个问题的反馈，Firefox团队最好的选择是关注Edge和Chrome是如何处理这个问题的。

• Edge: Edge中的身份验证模式之间的延迟足够大，用户可以关闭选项卡或浏览器。
  
• Chrome:身份验证对话框窗口已经从浏览器窗口级别移动到每个标签。这意味着激进的身份验证对话框只会阻塞选项卡，而不是整个浏览器。且用户轻松关闭滥用选项卡。