Um bug que perdura 11 anos no navegador Mozilla Firefox prejudica usuários e facilita a ação de golpistas na internet. O bug foi relatado inicialmente em em abril de 2007. Assim, mesmo depois de tanto tempo, criadores de virus e administradores de sites maliciosos estão explorando uma falha de design exposta há 11 anos. Leia neste post que um bug que perdura 11 anos no Firefox prejudica usuários.
Entendendo a falha
Este bug, que ainda não foi solucionado pela equipe de programadores da Fundação Mozilla, foi reportado outras vezes. A última foi há dois dias.
O bug possibilita a um site malicioso criar um loop de autenticação, como é mostrado na foto abaixo:
Através desse bug, sempre que os usuários tentam sair, os proprietários do site malicioso acionam a autenticação. Assim, criam um loop que impede o visitante de sair por vias normais, obrigando a matar o processo do navegador ou instalar as extensões e programas sugeridos.
Este problema não é um erro grave de segurança per si uma vez que não expõe o navegador a nenhum ataque direto em seu condigo-fonte. Mas sim uma falha na forma com que o navegador processa as requisições. Em outras palavras, se trata de um erro de design. Dessa forma, permite que vários pedidos de autenticação em um espaço muito curto de tempo sejam realizados.
Relato de usuário
Segundo relato de um usuário que foi recentemente afetado pela falha, tudo aconteceu dessa forma;
No começo eu acho que é apenas um site publicitário irritante e eu quero fechá-lo. No entanto, não posso. Verifique a captura de tela no anexo. Em primeiro lugar, é aberto o modo de tela cheia. Com alguns diálogos falsos do Windows (estou usando o Linux, então sei que é falso), ele tentou instalar suas extensões. Em seguida, pressiono ESC para sair da tela inteira. Clico no botão fechar da aba ou janela, mas não funciona porque tem essa caixa de diálogo de login. Eu clico no botão fechar da caixa de diálogo de login ou no botão cancelar. Então a caixa de diálogo aparecerá novamente. Clico no botão Não permitir pop-up da instalação, mas não parece clicável. Eu matei o processo do Firefox, que é a única solução para mim, disse o usuário Guo Yunhe.
Claro que diariamente são reportados diversos problemas para os desenvolvedores sendo impossível responder todas em tempo hábil. Mas talvez nesse meio tempo de 11 anos, seja um tempo suficiente para que uma falha de design pudesse ter sido já solucionada, ainda mais por já ser conhecida em detalhes e explorada ativamente.
Qual a solução?
Uma boa maneira de mitigar o problema é aproveitar o feedback deixado por outros usuários e seguir como o Edge e o Chrome lidaram com isso.
No Edge, o atraso entre uma requisição e outra é grande o suficiente para possibilitar ao usuário fechar a aba problemática ou o navegador.
No Chrome cada aba é tratada como um processo único portanto se alguma aba apresenta problemas ou é “sequestrada” por essas requisições você pode fecha-lá sem comprometer o navegador e suas outras aba nesse processo.
Via: Zdnet.com