Firefox 成功修复恶意光标攻击

一颗小胡椒 2020-08-07
专栏 - 资讯 发布于 2020-08-07 11:27:00 阅读 88 评论 0

技术支持诈骗小组发现了一种方法,它可以滥用Firefox之前的“恶意光标”补丁来启用新的攻击。

恶意光标攻击出现,Firefox成功修复

Firefox上周修复了一个漏洞,该漏洞已被技术支持诈骗者滥用,为了创建人造鼠标光标和阻止用户轻易离开恶意网站。

该漏洞被英国网络安全公司Sophos在网上滥用,并于今年早些时候报告给Mozilla。

自从上周发布79.0版本以来,已提供了一个错误修复,并且已在Firefox中启用。

什么是恶意光标攻击?

该错误是一种经典的“恶意光标”攻击,之所以有效,是因为现代浏览器允许网站所有者在用户浏览其网站时修改鼠标光标的外观。

这种自定义类型看似无用,但通常用于基于浏览器的游戏,浏览器增强现实或浏览器虚拟现实体验。但是,自定义光标已成为常规Web的主要问题。

在恶意光标攻击中,恶意网站会篡改光标设置,以修改实际光标在屏幕上可见的位置以及实际点击区域的位置。

例如,鼠标光标的宽度和高度可以定义为256个像素。恶意光标攻击是在左上角显示常规鼠标光标,但在右下角定义了单击位置,从而在用户看到光标的位置与实际单击的位置之间产生巨大差异。

恶意光标攻击通常是由技术支持骗局网站的操作员提供的武器,他们使用此特殊技巧来使用户陷于自己的网站上。因为受害者由于光标的可见性,单击差异而无法关闭选项卡和弹出窗口。

自2010年以来中恶意光标攻击途径,最近的一个错误已在2019年3月修复。

恶意光标攻击滥用MOZILLA的先前补丁

但是Mozilla也已成为目标。在上周发布补丁之前,这家浏览器制造商在2018年修复了其最后的恶意光标攻击入口点。

根据Sophos的说法,滥用此最新恶意光标攻击的组织实际上是在利用Mozilla先前的2018年补丁程序。

Sophos表示,攻击者——一个技术支持欺诈的操作员正在其网站的代码中创建一个故意的无限循环,以阻止Firefox的2018年补丁发布,从而有效地消除了Mozilla的先前修复并为再次显示恶意光标打开了大门。

Mozilla现在再次修补了此攻击媒介,该错误被跟踪为CVE-2020-15654。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!