能潜伏的不只是间谍，还有网络中的漏洞。

近日，据外媒报道，恶意软件制作者正在滥用 Firefox 的一个漏洞诱骗用户。

该漏洞的利用并不困难，只需在源代码中嵌入一个恶意网站的 iframe ，就可以在另一个域上发出 HTTP 身份验证请求，从而让 iframe 在恶意站点上显示身份验证模式，如下所示：

在过去几年里，恶意软件作者、诈骗者一直在滥用这个漏洞来吸引浏览恶意网站的用户，例如显示技术支持诈骗信息，诱导用户购买虚假的礼品卡、前往虚假的技术协助网站，或直接引导用户跳转至恶意软件网站。

每当用户试图离开时，这些恶意站点的所有者会循环触发全屏的身份验证模式。用户关掉一个，又会弹出另一个，按 ESC 退出全屏和窗口的关闭按钮均不起作用，直到他们通过进程彻底关闭浏览器。

该漏洞最早在2007年4月被反馈，且后续也有多次被反馈，却不知出于什么原因，迟迟未被修复。

尽管 Mozilla 是开源的项目，没有无限的资源处理所有报告出来的问题；但是，在这漫长的11年里，Firefox 的工程师理应能抽出一点时间来处理此问题，甚至是可以参考 Chrome 和 Edge 等其他浏览器的处理方式。

一些开源软件的支持者认为：开放源代码不仅能够推动软件发展，还可以让更多的开发者检验代码的安全性。这种想法可能源于密码学中的柯克霍夫原则(Kerckhoffs’s principle)——：即使密码系统的任何细节已为人悉知，只要密匙（key，又称密钥或密钥）未泄漏，它也应是安全的。

开源虽然能够防范软件开发商植入“后门”，但从数据来看Linux的漏洞可能比Windows更多，其中就不乏一些潜伏N年的漏洞。

在评估漏洞影响时，人们关注的往往是漏洞风险，而实际上，漏洞潜伏的时间也是一个非常重要的因素。时间跨度越大，也意味着会有更多的设备受到影响，被利用的概率也更高。

• Linux 内核提权漏洞（CVE-2017-6074），潜伏11年

潜伏时间同为11年的还有2017年2 月发现的Linux 内核提权漏洞（CVE-2017-6074），安全研究员 Andrey Konovalov 使用 Syzkaller fuzzing 工具时，发现了 DCCP协议实现中的 Linux 内核漏洞。该漏洞潜伏了11年终于被发现。

•  “永恒之蓝”漏洞，潜伏16年

去年5月12日，一款名为 Wannacry 的蠕虫勒索软件袭击了全球网络。被攻击的电脑用户需要支付高额赎金（有的需要比特币）才能让电脑恢复过来。

WannaCry 使用了美国国家安全局的“永恒之蓝”（EternalBlue）工具进行攻击。而永恒之蓝实际上也是一个隐匿很久的漏洞。根据后来的推测，该漏洞隐匿的时间至少有 16 年。

• “Shellshock”漏洞，潜伏22年

2014 年 9 月，Bash 曝出代号“ Shellshock”（中文名翻译为“破壳”）的高危漏洞，编号CVE-2014-6271。Bash 是一个比 OpenSSL还要古老的开源程序，它正式诞生至今已有 25 年，有意思的是 “破壳”漏洞几乎就伴随了其22年。

1. 源于编码的不严谨，没有对输入做校验。

2. 由于缺乏基本的漏洞缓解机制，导致漏洞利用非常容易，这也大大降低了黑客的攻击成本。

3. 保证质量的检查和测试，不及编程有趣，或许这也是为什么工程师们没有花点时间来处理这些问题。

4. AlienVault公司的安全顾问Javvad Malik说过：“任何人都可以对代码进行审计，但并非每个人都会这样做，因为似乎每一个人都认为其他人已经对这些代码进行过安全审查了，这也就是问题之所在。”正是这种“责任分散”，使得开源软件的安全性不如想象中完善。

参考来源：

• 开源中国

• 雷锋网

• Freebuf

     往期热门资讯：        

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com