吳明宜偽造或隱匿網址是誘使受害者點選網站達成詐騙或竊取資料的常見方法之一,但Firefox卻因某個瑕疵而無法辨別隱藏在iFrames的URL。
 |
Firefox 工程師正忙著修補可能造成瀏覽器無法對偽造的網址加註標記的弱點。
偽造或隱匿網址是誘使受害者點選網站達成詐騙或竊取資料的常見方法之一。而新的瀏覽器則試圖找出網址隱匿的技巧來辨別不安全的網站。但 Firefox 卻因某個瑕疵而無法辨別隱藏在 iFrames 的 URL 。
「所有版本的 Firefox 都包含某個 bug 而無法對隱藏在 iFrame 中的 URL 發出警示,」週一安全公司阿瑪科技在部落格中指出:「在特定情況下,本弱點可能會被用來散佈惡意程式並且竊取敏感資訊。」
阿瑪科技也展示了一個針對這項弱點的概念驗證攻擊。
隱藏 URL 或使用 iFrame 並非新技倆,但卻可能被用來欺瞞無知的受害者,卡巴斯基實驗室安全研究人員 Dennis Fisher 在部落格中指出:「網頁攻擊多年來已使用各種 URL 隱匿技巧,iFrames 是最常用的手法之一,因為它可以在使用者連線時進行背景攻擊。 Firefox 的新弱點讓攻擊者可結合這兩種手法,讓瀏覽器無法針對被變造過的 URL 發出警示而弱化了使用者防護。」
Mozilla 的瑕疵追蹤系統 Bugzilla 已將該弱點列為 570658,並指出修補程式還在努力中。
Firefox 開發部門總監 Johnathan Nigtingale 則表示問題沒那麼嚴重。
「本瑕疵問題在於網頁包含嵌入式 iFrame,使用隱匿的 URL 。大部份使用者並不會去看下載網頁的 HTML 程式碼,這是你唯一看到 URL 的管道。我們不認為該瑕疵會造成使用者被混淆或被騙。 Firefox 內建反釣魚工具及反惡意程式防護,可以在他們試圖造訪某個危險 URL 時警告使用者。」