Журналисты издания ZDNet обратили внимание на старую уязвимость в браузере Firefox, которая до сих пор доставляет пользователям множество проблем.
Впервые об этом баге разработчикам сообщили еще в 2007 году, то есть 11 лет назад, однако уязвимость так и не была исправлена. Проблема весьма проста: вредоносный сайт может встроить в свой код iframe, который отправляет аутентификационный HTTP-запрос к другому домену. В результате на сайте появляется аутентификационная форма, как на иллюстрации ниже.
Многие годы авторы малвари, фармеры рекламы и прочие мошенники используют этот баг, чтобы блокировать жертву, например, на сайте фальшивой технической поддержки, сайте с постоянно обновляющейся рекламой, сайте распространяющем малварь под видом легитимных обновлений, и так далее. Когда пользователь пытается покинуть такой ресурс, злоумышленники загружают все новые и новые аутентификационные формы, не давая ему это сделать. Это продолжается до тех пор, пока жертва не закроет браузер вообще и не начнет новую сессию.
За последние 11 лет пользователи неоднократно сообщали разработчикам Firefox об этой проблеме (1, 2, 3, 4, 5, 6, 7), но по каким-то неизвестным причинам баг по-прежнему работает, и его очень любят злоумышленники.
Один из наиболее свежих репортов о проблеме появился всего несколько дней тому назад. Пользователь рассказывает, что его пытались вынудить установить подозрительное расширение, а закрыть вредоносную вкладку было невозможно из-за диалогового окна логина. В итоге помогло лишь принудительное завершение процесса Firefox.
При этом журналисты ZDNet отмечают, что разработчики других браузеров давно решили эту проблему. Так, в Edge существует задержка между появлениями аутентификационных форм, во время которой пользователь может спокойно покинуть вредоносный сайт. В Chrome окна аутентификационных форм вообще передвинули на уровень вкладок, то есть вредоносный сайт может блокировать лишь одну вкладку, но не весь браузер, что так же дает пользователю возможность покинуть ресурс.