Firefox漏洞可能導致網路詐騙成功得手

偽造或隱匿網址是誘使受害者點選網站達成詐騙或竊取資料的常見方法之一,但Firefox卻因某個瑕疵而無法辨別隱藏在iFrames的URL。

Firefox工程師正忙著修補可能造成瀏覽器無法對偽造的網址加註標記的弱點。

偽造或隱匿網址是誘使受害者點選網站達成詐騙或竊取資料的常見方法之一。而新的瀏覽器則試圖找出網址隱匿的技巧來辨別不安全的網站。但Firefox卻因某個瑕疵而無法辨別隱藏在iFrames的URL。

「所有版本的Firefox都包含某個bug而無法對隱藏在iFrame中的URL發出警示,」週一安全公司阿瑪科技在部落格中指出:「在特定情況下,本弱點可能會被用來散佈惡意程式並且竊取敏感資訊。」

阿瑪科技也展示了一個針對這項弱點的概念驗證攻擊。

隱藏URL或使用iFrame並非新技倆,但卻可能被用來欺瞞無知的受害者,卡巴斯基實驗室安全研究人員Dennis Fisher在部落格中指出:「網頁攻擊多年來已使用各種URL隱匿技巧,iFrames是最常用的手法之一,因為它可以在使用者連線時進行背景攻擊。Firefox的新弱點讓攻擊者可結合這兩種手法,讓瀏覽器無法針對被變造過的URL發出警示而弱化了使用者防護。」

Mozilla的瑕疵追蹤系統Bugzilla已將該弱點列為570658,並指出修補程式還在努力中。

Firefox開發部門總監Johnathan Nigtingale則表示問題沒那麼嚴重。

「本瑕疵問題在於網頁包含嵌入式iFrame,使用隱匿的URL。大部份使用者並不會去看下載網頁的HTML程式碼,這是你唯一看到URL的管道。我們不認為該瑕疵會造成使用者被混淆或被騙。Firefox內建反釣魚工具及反惡意程式防護,可以在他們試圖造訪某個危險URL時警告使用者。」

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416