Discussion :

[Stéphane le calme]

Des sites malveillants se servent d'un bogue vieux de 11 ans sur Firefox,
qui a déjà été corrigé sur Chrome et le navigateur de Microsoft

Il ne s’agit pas d’un problème très original en soi, étant donné que le Web regorge de sites malveillants. La particularité ici est que des acteurs malveillants ont exploité un bogue de Firefox que les ingénieurs de Mozilla ne semblent pas avoir corrigé dans les 11 années qui ont suivi les premiers signalements en avril 2007.

À l’époque, le problème avait été découvert au sein des principaux navigateurs et il a déjà été corrigé sur Internet Explorer (qui est désormais Microsoft Edge) ainsi que Chrome.

L'exploit du navigateur tire parti de l'intégration d'un iframe dans le code source de sites Web malveillants. L'iframe malveillant utilise des demandes d'authentification HTTP sur d'autres domaines et présente les sites Web malveillants comme « authentiques », ce qui rend difficile la différenciation entre les sites Web réels et les sites Web factices.

Les acteurs malveillants se servent de cette faille pour des escroqueries liées au support technique, des fermes de publicité qui rechargent la page en boucle avec de nouvelles annonces, des pages qui poussent les utilisateurs à acheter de fausses cartes-cadeaux ou encore des sites proposant des mises à jour malveillantes de logiciels.

Chaque fois que les utilisateurs tentent de partir, une invite d’authentification est déclenchée dans une boucle. Chaque fois que l'utilisateur annule, une nouvelle requête est émise et une nouvelle invite apparaît, le gardant ainsi captif jusqu'à ce qu'il ferme complètement le navigateur et qu'il soit obligé de démarrer une nouvelle session de navigation.

Microsoft a réussi à atténuer ce problème en permettant un délai important entre les invites d'authentification; les utilisateurs disposent de suffisamment de temps pour fermer les onglets malveillants. De son côté, Google a rendu les invites d'authentification exclusives à chaque onglet. Cela signifie que les boîtes de dialogue persistantes d'authentification se contentent de bloquer l'onglet et non le navigateur en entier. Cela permet ainsi à l'utilisateur de fermer facilement l'onglet abusif.

Mozilla, pour sa part, a essayé plusieurs solutions, mais aucune d’entre elles n’a été particulièrement efficace. Résultat ? Un utilisateur a signalé le même problème samedi dernier. Celui ci a atterri sur l'un de ces sites louches qui a tenté de le forcer à installer une extension suspecte de Firefox.

Lorsque je naviguais sur un site, une fenêtre de publicité s’est affichée, l’adresse de la page commençait par http://mainlink.cool/

Au début, je pensais qu’il s’agissait juste d’un site de publicité ennuyeux. Aussi, j’ai voulu le fermer, cependant je n’ai pas réussi.

La page s’est ouverte en mode plein écran. Avec certaines fausses boîtes de dialogues Windows (j'utilise Linux, donc je sais qu’elles sont fausses). Elle a essayé de [me forcer] à installer ses extensions. J’ai donc appuyer sur ESC pour quitter le mode plein écran. J’ai cliqué sur le bouton de fermeture de l'onglet ou de la fenêtre, mais cela n’a pas fonctionné car elle contenait cette boîte de dialogue de connexion. J’ai cliqué sur le bouton de fermeture de la boîte de dialogue de connexion ou sur le bouton d'annulation. La boîte de dialogue est apparue à nouveau. Encore une fois, j’ai cliqué sur le bouton Ne pas autoriser sur la boîte de dialogue proposant de télécharger l’extension, mais cela n’a pas semblé fonctionner. J'ai donc décidé de mettre fin au processus Firefox, c’était la seule solution pour moi.

D’après les réponses sur BugZilla, Mozilla va publier très prochainement un correctif. Cependant, la Fondation n’a pas précisé si elle allait se servir de la solution optée par Microsoft, celle que Google a préféré ou alors créer quelque chose de nouveau pour Firefox.

Source : BugZilla

Et vous ?

Avez-vous déjà rencontré un site Web qui se comporte de la sorte sur Firefox ?
Mozilla devrait-il adopter la méthode de Microsoft, celle de Google, ou partir sur une méthode qui lui serait propre ?

Voir aussi :

Google décide d'accélérer la fermeture de Google+ après la découverte d'un nouveau bogue, qui affecte les informations de 52 millions d'utilisateurs
PB 5.70 LTS : La bêta 4 est disponible sur votre compte avec des corrections de bogues et la doc française à jour.
Les employés Apple Store US ne sont pas autorisés à utiliser des mots comme bogue, car les produits ne doivent pas être vus comme source du problème
Des services Azure cloud de Microsoft inaccessibles en Europe, Asie et Amérique pendant 14 h à cause de 3 bogues dans son service d'authentification
Windows 10 October 2018 : de nouveaux bogues font surface dans Media Player et les app Win32 en général après la reprise du déploiement de l'update

[archqt]

Je n'ai jamais compris pourquoi on ne pouvait pas bloquer cela facilement, du coup, si par malheur tu tombes sur un de ces sites, t'es quasi obligé de tuer le processus...

[Neckara]

Je n'ai jamais compris pourquoi on ne pouvait pas bloquer cela facilement, du coup, si par malheur tu tombes sur un de ces sites, t'es quasi obligé de tuer le processus...

Cela m'était justement arrivé avec Firefox.

Cependant, comme il y a un délai entre la fermeture et l'ouverture de la prochaine boîte de dialogue, tu peux placer ta souris au bon endroit, fermer la boîte de dialogue actuelle grâce à ton clavier, et te dépêcher pour cliquer.

C'est quand même étrange, il me semblait que dans les anciennes version de Firefox, on avait une petite case à cocher pour empêcher le site d'ouvrir plus de boîtes de dialogues. Je me demande pourquoi cette option n'est plus présente dans les nouvelles versions de Firefox.

[frfancha]

" internet explorer qui est désormais edge "...
Non! Internet explorer est resté internet explorer et edge est un tout autre browser

[Axel-Swailli]

Pour ma part lorsque je navigue avec firefox et que je rencontre ce genre de soucis sur une page frauduleuse avec des boites de dialogues qui n'en finissent plus de réapparaitre après chaque fermeture j'utilise simplement la technique du "Alt / F4" deux ou trois fois de suite ce qui permet de fermer la boite de dialogue puis la publicité ou l'invite d'installation frauduleuse et enfin l'onglet incriminé si on appuie une fois de trop c'est firefox qui se coupe il faut alors relancer une session