火狐瀏覽器 11年未修復漏洞曝光

能潛伏的不只是間諜，還有網路中的漏洞。

近日，據外媒報導，惡意軟體製作者正在濫用 Firefox 的一個漏洞誘騙使用者。

該漏洞的利用並不困難，只需在原始碼中嵌入一個惡意網站的 iframe ，就可以在另一個域上發出 HTTP 身份驗證請求，從而讓 iframe 在惡意站點上顯示身份驗證模式，如下所示：

在過去幾年裡，惡意軟體作者、詐騙者一直在濫用這個漏洞來吸引瀏覽惡意網站的使用者，例如顯示技術支援詐騙資訊，誘導使用者購買虛假的禮品卡、前往虛假的技術協助網站，或直接引導使用者跳轉至惡意軟體網站。

每當使用者試圖離開時，這些惡意站點的所有者會迴圈觸發全屏的身份驗證模式。使用者關掉一個，又會彈出另一個，按 ESC 退出全屏和視窗的關閉按鈕均不起作用，直到他們通過程式徹底關閉瀏覽器。

漏洞長達11年未修復

該漏洞最早在2007年4月被反饋，且後續也有多次被反饋，卻不知出於什麼原因，遲遲未被修復。

儘管 Mozilla 是開源的專案，沒有無限的資源處理所有報告出來的問題；但是，在這漫長的11年裡，Firefox 的工程師理應能抽出一點時間來處理此問題，甚至是可以參考 Chrome 和 Edge 等其他瀏覽器的處理方式。

一些開源軟體的支持者認為：開放原始碼不僅能夠推動軟體發展，還可以讓更多的開發者檢驗程式碼的安全性。這種想法可能源於密碼學中的柯克霍夫原則(Kerckhoffs’s principle)——：即使密碼系統的任何細節已為人悉知，只要密匙（key，又稱金鑰或金鑰）未洩漏，它也應是安全的。

開源雖然能夠防範軟體開發商植入“後門”，但從資料來看Linux的漏洞可能比Windows更多，其中就不乏一些潛伏N年的漏洞。

“老”洞危害大

在評估漏洞影響時，人們關注的往往是漏洞風險，而實際上，漏洞潛伏的時間也是一個非常重要的因素。時間跨度越大，也意味著會有更多的裝置受到影響，被利用的概率也更高。

Linux核心提權漏洞（CVE-2017-6074），潛伏11年

潛伏時間同為11年的還有2017年2 月發現的Linux 核心提權漏洞（CVE-2017-6074），安全研究員Andrey Konovalov使用Syzkaller fuzzing工具時，發現了DCCP協議實現中的Linux核心漏洞。該漏洞潛伏了11年終於被發現。

 “永恆之藍”漏洞，潛伏16年

去年5月12日，一款名為Wannacry的蠕蟲勒索軟體襲擊了全球網路。被攻擊的電腦使用者需要支付高額贖金（有的需要比特幣）才能讓電腦恢復過來。

WannaCry使用了美國國家安全域性的“永恆之藍”（EternalBlue）工具進行攻擊。而永恆之藍實際上也是一個隱匿很久的漏洞。根據後來的推測，該漏洞隱匿的時間至少有 16 年。

“Shellshock”漏洞，潛伏22年

2014 年 9 月，Bash曝出代號“ Shellshock”（中文名翻譯為“破殼”）的高危漏洞，編號CVE-2014-6271。Bash 是一個比OpenSSL還要古老的開源程式，它正式誕生至今已有 25 年，有意思的是 “破殼”漏洞幾乎就伴隨了其22年。

為什麼會有這麼多“老"洞？

1. 源於編碼的不嚴謹，沒有對輸入做校驗。

2. 由於缺乏基本的漏洞緩解機制，導致漏洞利用非常容易，這也大大降低了黑客的攻擊成本。

3. 保證質量的檢查和測試，不及程式設計有趣，或許這也是為什麼工程師們沒有花點時間來處理這些問題。

4.AlienVault公司的安全顧問Javvad Malik說過：“任何人都可以對程式碼進行審計，但並非每個人都會這樣做，因為似乎每一個人都認為其他人已經對這些程式碼進行過安全審查了，這也就是問題之所在。”正是這種“責任分散”，使得開源軟體的安全性不如想象中完善。

參考來源：

• 開源中國
  
• 雷鋒網
  
• Freebuf
  

更多資訊：

1、美版“知乎”Quora遭黑客入侵：1億使用者受影響

2、內部郵件披露：FB開發者明知高風險仍收集使用者隱私以吸納新成員

3、研究人員發現新的類 Spectre 攻擊 SplitSpectre

4、Adobe修復一個由360團隊發現的Flash Player零日漏洞