9月21日 消息:Mozilla已经修复了一个漏洞,攻击者可以使用该漏洞在同一个WiFi网络上劫持所有安卓版火狐浏览器,迫使用户访问恶意网站,比如钓鱼网页。
安全研究人员发现,这一漏洞存在于FirefoxSSDP组件中。SSDP代表简单服务发现协议,通过这一机制,Firefox可以在同一网络上找到其他设备,以便共享或接收内容。
当查找到对应设备时,Firefox SSDP组件获取存储该设备配置的XML文件的位置。
然而,研究人员发现在老版本的Firefox中,攻击者可以将Android的“intent”命令隐藏在这个XML中,让Firefox浏览器执行“intent”命令,它可以是一个常规的命令,比如要求Firefox访问一个链接。
为了更好地了解如何利用这个漏洞,可以设想这样一个场景:黑客走进机场或商场,连接到WiFi网络,然后在他们的笔记本电脑上启动一个脚本,向网络发送恶意的SSDP包。
在这种攻击中,任何使用Firefox浏览器浏览网页的Android用户,其移动浏览器都会被劫持并访问一个恶意网站,或者被迫安装一个恶意的Firefox扩展。
另一种情况是攻击者以脆弱的WiFi路由器为目标。攻击者可以利用漏洞控制过时的路由器,然后向公司的内部网络发送垃圾邮件,迫使员工在钓鱼页面上重新验证身份。
今年夏天早些时候,研究人员已向Mozilla报告了这个漏洞,Firefox 79 版本已经修复这一漏洞。不过可能还有很多用户没有更新到新版本,容易受到这一漏洞影响。桌面版本的Firefox没有受到影响。
为了安全起见,一位Mozilla发言人建议用户升级到最新版本的Firefox。