(ChinaZ.com) 9月21日 消息:Mozilla已經(jīng)修復了一個漏洞,攻擊者可以使用該漏洞在同一個WiFi網(wǎng)絡(luò)上劫持所有安卓版火狐瀏覽器,迫使用戶訪問惡意網(wǎng)站,比如釣魚網(wǎng)頁。
安全研究人員發(fā)現(xiàn),這一漏洞存在于Firefox SSDP組件中。SSDP代表簡單服務發(fā)現(xiàn)協(xié)議,通過這一機制,F(xiàn)irefox可以在同一網(wǎng)絡(luò)上找到其他設(shè)備,以便共享或接收內(nèi)容。
當查找到對應設(shè)備時,F(xiàn)irefox SSDP組件獲取存儲該設(shè)備配置的XML文件的位置。
然而,研究人員發(fā)現(xiàn)在老版本的Firefox中,攻擊者可以將Android的“intent”命令隱藏在這個XML中,讓Firefox瀏覽器執(zhí)行“intent”命令,它可以是一個常規(guī)的命令,比如要求Firefox訪問一個鏈接。
為了更好地了解如何利用這個漏洞,可以設(shè)想這樣一個場景:黑客走進機場或商場,連接到WiFi網(wǎng)絡(luò),然后在他們的筆記本電腦上啟動一個腳本,向網(wǎng)絡(luò)發(fā)送惡意的SSDP包。
在這種攻擊中,任何使用Firefox瀏覽器瀏覽網(wǎng)頁的Android用戶,其移動瀏覽器都會被劫持并訪問一個惡意網(wǎng)站,或者被迫安裝一個惡意的Firefox擴展。
另一種情況是攻擊者以脆弱的WiFi路由器為目標。攻擊者可以利用漏洞控制過時的路由器,然后向公司的內(nèi)部網(wǎng)絡(luò)發(fā)送垃圾郵件,迫使員工在釣魚頁面上重新驗證身份。
今年夏天早些時候,研究人員已向Mozilla報告了這個漏洞,F(xiàn)irefox 79 版本已經(jīng)修復這一漏洞。不過可能還有很多用戶沒有更新到新版本,容易受到這一漏洞影響。桌面版本的Firefox沒有受到影響。
為了安全起見,一位Mozilla發(fā)言人建議用戶升級到最新版本的Firefox。
