Firefox获得了对邪恶光标攻击的修复

3wthx

' `4 R4 N# k: ~  d+ rFirefox上周修复了一个在野外被技术支持骗子滥用的bug，用来制造人工鼠标光标，防止用户轻易离开恶意网站。
. Q+ G- _& n. P
# R( {) R# w  r2 n1 q0 s3 h这个bug被英国网络安全公司Sophos发现在网上被滥用，并在今年早些时候报告给Mozilla。

提供了一个bug修复程序，并从上周发布的79.0版本开始在Firefox中上线。
# S4 a& J: z; E% U2 B7 ?
什么是邪恶光标攻击？
1 e  C8 Q) Q7 M: I4 W" H
8 M! _7 [; p; y3 U0 f该bug是一种典型的“邪恶光标”攻击，其工作原理是现代浏览器允许网站所有者在用户浏览网站时修改鼠标光标的外观。

这种类型的自定义可能看起来毫无用处，但它经常用于基于浏览器的游戏、浏览器增强现实或浏览器虚拟现实体验。然而，自定义光标一直是常规网络的一大问题。

( a+ ^% L7 W% \% Y( V" u3 G在邪恶光标攻击中，恶意网站篡改光标设置，以修改实际光标在屏幕上的可见位置，以及实际点击区域的位置。
& @/ X8 I  J  ?: F  B; S! p! W
. r: _" M& ]8 J. {0 D( `例如，鼠标光标的宽度和高度可以定义为256像素之大。邪恶的光标攻击是指常规的鼠标光标显示在左上角，但点击点却定义在右下角，以造成用户看到光标的位置和实际点击的位置之间的巨大差异。

    下面是Sophos录制的邪恶光标攻击的演示，在技术支持网站的克隆上滥用这个 pic.twitter.com/0ItRFwCeVU。
! `0 w) E; x4 }1 g    - Catalin Cimpanu（@campuscodi）2020年8月6日。

4 q! L* r7 g0 f& Y7 Q, o# p邪恶光标攻击通常被技术支持诈骗网站的运营者作为武器，他们使用这种特殊的技巧将用户困在他们的网站上——因为受害者无法关闭标签和弹出窗口，因为光标可见性——点击差异。
' m5 T: c1 C# @8 V; |) ~
自2010年以来，谷歌一直在修复Chrome浏览器中的邪恶光标攻击途径，最近一次修复是在2019年3月。下面请看2019年Chrome浏览器中的邪恶光标攻击视频。
% ?' [$ Y8 J- E* {. x! ~$ c

   ‘ 邪恶光标’是技术支持骗子实现浏览器锁屏效果的一种简单而又有效的方法。错误报告在这里：https://t.co/XK63djq6wH pic.twitter.com/zNcSc8ox9G。
    - Jérôme Segura（@jeromesegura）2018年9月14日。

邪恶的光标攻击滥用Mozilla之前的补丁

1 i, ]( m: _! h8 S4 H0 o# d但Mozilla，也被盯上了。在上周的补丁之前，这家浏览器制造商修复了2018年最后一个邪恶光标攻击切入点。

8 I- q7 g- f# @( X1 L根据Sophos的说法，这次最新的邪恶光标攻击的集团实际上是在利用Mozilla之前的2018年补丁。
8 {9 ^3 f5 v. _+ U9 }( J' ]
& q5 \) |. P6 ZSophos表示，攻击者——一个技术支持诈骗运营商——是在他们网站的代码中故意制造一个无限循环，以防止Firefox的2018年补丁生效，有效地否定了Mozilla之前的修复，并为再次显示邪恶光标打开了大门。

现在Mozilla已经再次修补了这个攻击载体，该bug被追踪为CVE-2020-15654。
2 {8 A7 g" z7 W$ e