设为首页收藏本站
切换到窄版

 找回密码
 立即注册!
搜索
动象论坛»论坛 「综合讨论」 新闻发布区 Firefox获得了对邪恶光标攻击的修复

小喇叭+ 发布

12-31 23:03
系统消息:尊敬的用户,动象论坛的邮件系统已经完美修复,您现在可以顺利使用自助注册和找回密码功能了。万分感谢你对动象论坛的喜爱与支持~
06-10 15:28
系统消息:很抱歉的通知您,当前论坛的邮件系统暂时出现故障,因此自助注册和找回密码的功能将无法使用。如有任何需要,您可以直接添加客服QQ:230273459进行人工操作。对此给您带来的不便,我们深感歉意。
06-10 09:11
admin动象论坛祝大家端午快乐~悠悠粽草,人间芳华,年年岁岁皆如愿,岁岁年年长安康。
06-10 09:09
系统消息:动象论坛祝大家高考加油~
06-09 15:13
系统消息:各位坛友,由于“两会”封网原因,动象论坛服务中止了约一个星期,对于由此给您造成的麻烦我们感到万分抱歉。
03-18 23:04
admin动象论坛在这里祝大家2024龙年新年快乐~
02-09 14:58
系统消息:论坛端口问题已经解决~您可以直接访问论坛域名mcmc.ltd(www.mcmc.ltd)啦~(Tips:如访问时提示“连接被重置”报错,请清空您的DNS缓存与浏览器缓存。)
02-05 19:14
系统消息:论坛预计今天晚间将端口问题修复完成,请留意论坛动态,感谢您对动象论坛的支持~
02-05 14:06
系统消息:动象论坛目前正在紧急迁移服务器,目前请您先访问https://mcmc.ltd:150。论坛正在全力找CDN以修复端口问题,由此给您造成影响亿常抱歉。。
02-05 11:23
系统消息:动象论坛祝大家2024年新年快乐吖~祝大家前路浩浩荡荡,万事皆可期待~
12-31 22:41
系统消息:动象论坛拟于7月20日至7月21日进行服务器迁移和域名更换,届时论坛服务将暂时不可用。对此给您带来的麻烦,我们感到十分抱歉。
07-18 19:51
Mozillahello world
07-04 17:39
系统消息:高考倒计时2天!动象论坛祝大家2023高考完胜!加油!!!!!!
06-04 23:44
神秘人:
03-21 07:20
系统消息:向各位论坛坛友公开一下,我们现在吸收了@luoying2334 为论坛管理团队成员,管理讨论区、软件分享区和得闲饮茶区。如您有任何质疑,请您在【意见与建议】版块发帖,感谢您的支持~
03-20 23:23
admin论坛没啥人气啊emmm,欢迎大家来推荐退荐~
03-12 22:34
02-05 11:11
luoying2334给我学狗叫啊,三回啊三回
02-05 11:11
Civilmafia追尾黑色高级车
02-04 14:27
返回列表 发新帖
查看: 1034|回复: 0

Firefox获得了对邪恶光标攻击的修复

[复制链接]
3wthx

64

主题

59

回帖

2565

积分

飘然归隐

积分
2565

最佳新人灌水之王
发表于 2020-8-6 20:04:19 | 显示全部楼层 |阅读模式 IP:广东广州
本帖最后由 3wthx 于 2020-8-6 20:09 编辑 - h7 k8 X" v; [# s8 s
' K, _6 `4 a! R4 s8 h. _" W* }
Firefox上周修复了一个在野外被技术支持骗子滥用的bug,用来制造人工鼠标光标,防止用户轻易离开恶意网站。
# ?7 z3 l1 s1 c' F3 w% r8 n0 Q  ~9 a- j' W2 R% _3 S
这个bug被英国网络安全公司Sophos发现在网上被滥用,并在今年早些时候报告给Mozilla。& E$ k) b  ]% w: U/ p) C; Q! [, a$ x

" S  J6 \8 ^6 M) g  [提供了一个bug修复程序,并从上周发布的79.0版本开始在Firefox中上线。
% p3 C8 p" U, ]% w* y7 ~7 W
& C, h2 @/ m) v+ Q; c什么是邪恶光标攻击?
6 B, R: m+ ^- Y( K! A& ~3 ?
0 A- V: u3 N# F1 l% x0 _' \8 ^  z该bug是一种典型的“邪恶光标”攻击,其工作原理是现代浏览器允许网站所有者在用户浏览网站时修改鼠标光标的外观。/ G' q% m- {1 @( u( Q, [( J
/ x  z4 k( N* L! k1 n
这种类型的自定义可能看起来毫无用处,但它经常用于基于浏览器的游戏、浏览器增强现实或浏览器虚拟现实体验。然而,自定义光标一直是常规网络的一大问题。
  x. a' W/ z* P3 p) n+ G  u
$ ?) n0 K9 e0 s- q) V  l在邪恶光标攻击中,恶意网站篡改光标设置,以修改实际光标在屏幕上的可见位置,以及实际点击区域的位置。) P7 c' f4 I9 i% Q
' i" @% N) J) t0 G, \
例如,鼠标光标的宽度和高度可以定义为256像素之大。邪恶的光标攻击是指常规的鼠标光标显示在左上角,但点击点却定义在右下角,以造成用户看到光标的位置和实际点击的位置之间的巨大差异。& N7 \( w. r$ o/ `0 l/ L8 H
1 F; c$ x: X" B
    下面是Sophos录制的邪恶光标攻击的演示,在技术支持网站的克隆上滥用这个 pic.twitter.com/0ItRFwCeVU。2 n$ r' i/ t9 h) {. P
    - Catalin Cimpanu(@campuscodi)2020年8月6日。

- E! s3 F! [: a9 X7 A5 e邪恶光标攻击通常被技术支持诈骗网站的运营者作为武器,他们使用这种特殊的技巧将用户困在他们的网站上——因为受害者无法关闭标签和弹出窗口,因为光标可见性——点击差异。( W2 m& q' B8 G1 J0 T9 c

, e- J; t: N! \: G- G! @自2010年以来,谷歌一直在修复Chrome浏览器中的邪恶光标攻击途径,最近一次修复是在2019年3月。下面请看2019年Chrome浏览器中的邪恶光标攻击视频。3 K+ m  C1 l( P% U/ c
   ‘ 邪恶光标’是技术支持骗子实现浏览器锁屏效果的一种简单而又有效的方法。错误报告在这里:https://t.co/XK63djq6wH pic.twitter.com/zNcSc8ox9G。
* I( d/ t2 G/ N0 {  v& b& T    - Jérôme Segura(@jeromesegura)2018年9月14日。

. N% J/ c5 C: h) S) i9 B0 E邪恶的光标攻击滥用Mozilla之前的补丁1 C7 X) L# ?2 f4 r" M7 \; w+ I
6 l6 K3 M8 G5 u0 R8 S% [
但Mozilla,也被盯上了。在上周的补丁之前,这家浏览器制造商修复了2018年最后一个邪恶光标攻击切入点。  ^% F% B& Q  p. v3 [; \2 F! Z& c
4 o  A6 J7 _, j% C% j* V/ z# t/ V
根据Sophos的说法,这次最新的邪恶光标攻击的集团实际上是在利用Mozilla之前的2018年补丁。
: X  l+ a1 [) O( A: m% r
9 e% m5 `* r$ L4 O' p8 HSophos表示,攻击者——一个技术支持诈骗运营商——是在他们网站的代码中故意制造一个无限循环,以防止Firefox的2018年补丁生效,有效地否定了Mozilla之前的修复,并为再次显示邪恶光标打开了大门。* R* e$ X9 Y' W3 r7 T5 }2 C+ S5 b2 U2 Y
  g  B1 F: {) l/ q3 |: |
现在Mozilla已经再次修补了这个攻击载体,该bug被追踪为CVE-2020-15654$ W; M6 b( W1 {2 I' U$ j; [% m" h; _
[我是一个默认签名,快去设置里设置一个个性签名吧(*^ワ^*)] 动象论坛欢迎您!(´∇ノ`*)ノ
回复

使用道具 举报

返回列表 发新帖
*滑块验证:
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册!

本版积分规则

QQ|手机版|小黑屋|网站地图|动象论坛

GMT+8, 2025-1-30 13:08 , Processed in 0.222558 second(s), 29 queries , Gzip On.

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表