Un bug en Firefox reportado hace más de 11 años está siendo abusado por sitios web maliciosos

Fue reportado por primera vez en abril de 2007, pero hasta ahora Mozilla no lo ha solucionado. La forma en la que es explotado tampoco es nada nuevo, son trampas usuales de sitios web fraudulentos, pero que gracias al bug en Firefox que navegadores como Chrome y Edge sí han solucionado, el usuario puede quedar atrapado en la web maliciosa.

El bug en cuestión puede ser explotado si un sitio web malicioso inserta un _iframe_ o marco incorporado dentro de su código fuente que se presenta como una petición de autenticación HTTP en otro dominio. Es decir, cuando el usuario entra en el sitio puede ver mensajes emergentes de autenticación falsos y además no los puede cerrar.

El problema fue reportado (otra vez, con este reporte son ocho en 11 años) hace un par de días por el usuario Guo Yunhe en los foros de Mozilla. Explica que mientras navegaba por un sitio web vio aparecer un popup con anuncios. Como al principio pensó que era solo una publicidad molesta en el sitio, intentó cerrarlo pero no pudo.

Un vistazo a…
Firefox Multiple Picture-in-Picture

El diálogo inescapable

Ejemplo de un mensaje de autenticación en un sitio web malicioso que no se puede cerrar en Firefox

Primero se abre en pantalla completa con un diálogo falso que intenta convencer al usuario que instale sus extensiones. Si presionas ESC puedes salir de pantalla completa, pero no funcionan ni el botón de cerrar pestaña ni ventana porque el marco falso para iniciar sesión está bloqueando el click.

Si el usuario intenta cerrar el marco o hacer click en cancelar, el dialogo simplemente aparece de nuevo. La única solución es terminar el proceso del navegador de forma manual. Algo que muchos usuarios desconocen cómo hacer y si se presentan mensajes de advertencia lo suficientemente efectivos como para engañar a alguien con pocos conocimientos, el usuario puede terminar instalando todo lo que el sitio web le diga, o hasta ingresando información personal sensible para liberarse de los marcos.

Si el mensaje apareciese en Edge o Chrome el usuario sí podría cerrar la pestaña sin ser bloqueado por el marco falso de autenticación

En Edge y Chrome no pasa lo mismo cuando el usuario se encuentra con este tipo de marcos agresivos porque ambos navegadores han implementado formas para permitir que el usuario cierre la pestaña o el navegador en esos casos. Con Firefox tendrías que abrir el Administrador de tareas de Windows y matar el proceso.

Vía | ZDNet

Ver todos los comentarios en https://www.genbeta.com

VER 13 Comentarios

Portada de Genbeta