Firefox被曝出一个已存在 11 年未修复的漏洞
【大咖・来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》
据 ZDNet 报道,恶意软件制作者正在滥用 Firefox 的一个漏洞来诱骗用户。耐人寻味的是,该漏洞最早于2007年4月被反馈,且后续也有多次被反馈,却不知出于什么原因,迟迟未被修复。
该漏洞的利用并不困难,只需在源代码中嵌入一个恶意网站的 iframe ,就可以在另一个域上发出 HTTP 身份验证请求,从而让 iframe 在恶意站点上显示身份验证模式,如下所示:
在过去几年里,恶意软件作者、诈骗者一直在滥用这个漏洞来吸引浏览恶意网站的用户,例如显示技术支持诈骗信息,诱导用户购买虚假的礼品卡、前往虚假的技术协助网站,或直接引导用户跳转至恶意软件网站。
每当用户试图离开时,这些恶意站点的所有者会循环触发全屏的身份验证模式。用户关掉一个,又会弹出另一个,按 ESC 退出全屏和窗口的关闭按钮均不起作用,直到他们通过进程彻底关闭浏览器。
ZDNet 评论道,尽管 Mozilla 是开源的项目,没有***的资源处理所有报告出来的问题;但是,在这漫长的11年里,Firefox 的工程师理应能抽出一点时间来处理此问题,甚至是可以参考 Chrome 和 Edge 等其他浏览器的处理方式。

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
如何避免安全项目投入中的“黑洞”
【大咖・来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》 任何信息安全公司任何时候都会有很多不同项目在进行,而且是在还有很多日常操作性活动的情况下。每个项目都要花费一定的金钱、资源和时间。同时,这些项目对公司整体安全态势的贡献也不一样,并且处在不同的完成度上。公司企业需持续评估项目的预算消耗情况和进度,以及项目为企业安全态势注入的价值。阶段性评估没做好,可能会造成公司企业花费大量金钱、人力资源和时间却对安全态势毫无改善,或者项目完工遥遥无期。 《福布斯》上曾经发表过一篇名为《怎样浪费1000亿美元:失败武器项目》的文章,讨论了一系列烧掉大把美元还没成功的政府武器项目。文章提醒,任何项目都应在过程中设置检查点,确保该项目朝着既定目标推进,且不会超出预算。如果没这么做,项目很容易偏离轨道,造成超期或超预算的后果。 那么,机构想要避免陷入安全项目的资源投入黑洞,要怎么做呢? 1. 回归基础 考虑该如何评估哪些行动可以为安全机构带来价值时,我们需要回归基础来找寻答案。归根结底,各个安全项目都要缓解我们最为关注的风险和威胁,解决我们自己设立的安全目标和重要事项。如果我们回归这些基本...
- 下一篇
联盟标准《网络安全人员角色分类与能力要求框架》今日发布
【大咖・来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》 2019年1月18日,由中国关键信息基础设施技术创新联盟(以下简称“联盟”)组织修订的《网络安全人员角色分类与能力要求框架》(以下简称标准)正式对外发布为联盟团体标准,发布即日起实施。 标准草案稿由中认信安(北京)技术服务有限公司牵头编写,联盟组织了相关单位进行修订,并于2019年1月10日至14日向联盟成员征求意见并进行调整修订。 合理设置网络安全保障工作的角色分类,明确各角色的能力要求,是充分发挥网络安全人员作用的关键。本标准提供了网络安全保障职业角色的分类指南和每个角色的能力要求。网络运营机构可参照本标准合理设置工作岗位,并依此建立相关录用、考核标准,选择恰当的人员承担相关工作,***限度的发挥相关岗位人员的作用。网络安全从业人员可参照本标准对角色能力的要求,结合自身的知识、技能和经历,选择合适的工作角色做好职业规划。网络安全培训教育机构可根据本标准开发合理的课程,为接受培训的人员建立良好的工作衔接。国家认证认可机构可依据本标准对网络安全从业人员开展能力评价工作,并予以合理的能力认定。 后续联盟还将进一步开发...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- CentOS8安装MyCat,轻松搞定数据库的读写分离、垂直分库、水平分库
- Windows10,CentOS7,CentOS8安装MongoDB4.0.16
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- SpringBoot2初体验,简单认识spring boot2并且搭建基础工程
- CentOS8安装Docker,最新的服务器搭配容器使用
- Eclipse初始化配置,告别卡顿、闪退、编译时间过长
- CentOS7,8上快速安装Gitea,搭建Git服务器
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- Docker安装Oracle12C,快速搭建Oracle学习环境
- CentOS7设置SWAP分区,小内存服务器的救世主