À l’époque, le problème avait été découvert au sein des principaux navigateurs et il a déjà été corrigé sur Internet Explorer (qui est désormais Microsoft Edge) ainsi que Chrome.
L'exploit du navigateur tire parti de l'intégration d'un iframe dans le code source de sites Web malveillants. L'iframe malveillant utilise des demandes d'authentification HTTP sur d'autres domaines et présente les sites Web malveillants comme « authentiques », ce qui rend difficile la différenciation entre les sites Web réels et les sites Web factices.
Les acteurs malveillants se servent de cette faille pour des escroqueries liées au support technique, des fermes de publicité qui rechargent la page en boucle avec de nouvelles annonces, des pages qui poussent les utilisateurs à acheter de fausses cartes-cadeaux ou encore des sites proposant des mises à jour malveillantes de logiciels.
Chaque fois que les utilisateurs tentent de partir, une invite d’authentification est déclenchée dans une boucle. Chaque fois que l'utilisateur annule, une nouvelle requête est émise et une nouvelle invite apparaît, le gardant ainsi captif jusqu'à ce qu'il ferme complètement le navigateur et qu'il soit obligé de démarrer une nouvelle session de navigation.
Microsoft a réussi à atténuer ce problème en permettant un délai important entre les invites d'authentification; les utilisateurs disposent de suffisamment de temps pour fermer les onglets malveillants. De son côté, Google a rendu les invites d'authentification exclusives à chaque onglet. Cela signifie que les boîtes de dialogue persistantes d'authentification se contentent de bloquer l'onglet et non le navigateur en entier. Cela permet ainsi à l'utilisateur de fermer facilement l'onglet abusif.
Mozilla, pour sa part, a essayé plusieurs solutions, mais aucune d’entre elles n’a été particulièrement efficace. Résultat ? Un utilisateur a signalé le même problème samedi dernier. Celui ci a atterri sur l'un de ces sites louches qui a tenté de le forcer à installer une extension suspecte de Firefox.
Envoyé par Utilisateur Firefox
Source : BugZilla
Et vous ?
Avez-vous déjà rencontré un site Web qui se comporte de la sorte sur Firefox ?
Mozilla devrait-il adopter la méthode de Microsoft, celle de Google, ou partir sur une méthode qui lui serait propre ?
Voir aussi :
Google décide d'accélérer la fermeture de Google+ après la découverte d'un nouveau bogue, qui affecte les informations de 52 millions d'utilisateurs
PB 5.70 LTS : La bêta 4 est disponible sur votre compte avec des corrections de bogues et la doc française à jour.
Les employés Apple Store US ne sont pas autorisés à utiliser des mots comme bogue, car les produits ne doivent pas être vus comme source du problème
Des services Azure cloud de Microsoft inaccessibles en Europe, Asie et Amérique pendant 14 h à cause de 3 bogues dans son service d'authentification
Windows 10 October 2018 : de nouveaux bogues font surface dans Media Player et les app Win32 en général après la reprise du déploiement de l'update