據 ZDNet 報道，惡意軟體製作者正在濫用 Firefox 的一個漏洞來誘騙使用者。耐人尋味的是，該漏洞最早於2007年4月被反饋，且後續也有多次被反饋，卻不知出於什麼原因，遲遲未被修復。

該漏洞的利用並不困難，只需在原始碼中嵌入一個惡意網站的 iframe ，就可以在另一個域上發出 HTTP 身份驗證請求，從而讓 iframe 在惡意站點上顯示身份驗證模式，如下所示：

在過去幾年裡，惡意軟體作者、詐騙者一直在濫用這個漏洞來吸引瀏覽惡意網站的使用者，例如顯示技術支援詐騙資訊，誘導使用者購買虛假的禮品卡、前往虛假的技術協助網站，或直接引導使用者跳轉至惡意軟體網站。

每當使用者試圖離開時，這些惡意站點的所有者會迴圈觸發全屏的身份驗證模式。使用者關掉一個，又會彈出另一個，按 ESC 退出全屏和視窗的關閉按鈕均不起作用，直到他們通過程序徹底關閉瀏覽器。

ZDNet 評論道，儘管 Mozilla 是開源的專案，沒有無限的資源處理所有報告出來的問題；但是，在這漫長的11年裡，Firefox 的工程師理應能抽出一點時間來處理此問題，甚至是可以參考 Chrome 和 Edge 等其他瀏覽器的處理方式。

編譯自：ZDNet