火狐弹窗漏洞 11 年仍未修复；谷歌被指将合规网站标记为恶意

(给技术最前线加星标，每天看技术热点)

转自：开源中国、solidot、cnBeta、腾讯科技、快科技等

【技术资讯】

0、Firefox 被曝出一个已存在 11 年未修复的漏洞

据 ZDNet 报道，恶意软件制作者正在滥用 Firefox 的一个漏洞来诱骗用户。耐人寻味的是，该漏洞最早于2007年4月被反馈，且后续也有多次被反馈，却不知出于什么原因，迟迟未被修复。

该漏洞的利用并不困难，只需在源代码中嵌入一个恶意网站的 iframe ，就可以在另一个域上发出 HTTP 身份验证请求，从而让 iframe 在恶意站点上显示身份验证模式，如下所示：

在过去几年里，恶意软件作者、诈骗者一直在滥用这个漏洞来吸引浏览恶意网站的用户，例如显示技术支持诈骗信息，诱导用户购买虚假的礼品卡、前往虚假的技术协助网站，或直接引导用户跳转至恶意软件网站。

每当用户试图离开时，这些恶意站点的所有者会循环触发全屏的身份验证模式。用户关掉一个，又会弹出另一个，按 ESC 退出全屏和窗口的关闭按钮均不起作用，直到他们通过进程彻底关闭浏览器。

ZDNet 评论道，尽管 Mozilla 是开源的项目，没有无限的资源处理所有报告出来的问题；但是，在这漫长的11年里，Firefox 的工程师理应能抽出一点时间来处理此问题，甚至是可以参考 Chrome 和 Edge 等其他浏览器的处理方式。

1、Google 被指责将合规网站和程序误标记为恶意

随着 Google 的浏览器安全服务 Google Safe Browsing 被绝大多数浏览器采用（包括 Chrome、Firefox、Safari 等主流浏览器），多数互联网用户在使用浏览器加载页面时其实已经在默默受到 Safe Browsing 的保护。近日，有一些软件开发者指责 Google Safe Browsing 将他们的网站或程序误标记为恶意页面、软件，对其流量和日常运营造成了影响，而这是由于 Google 的错误策略导致的。

据 ghacks.net 指出，包括 Greatis、Antibody Software、Scooter Software、IBE Software 在内的知名软件公司，在12月1日时都被发现有部分程序被 Google Safe Browsing 标记。

Google 在标记程序或页面后，会通过 Search Console 通知网站管理员在其项目或网站上有检测到恶意软件（前提是管理员有将网站添加至其中）。然而，这些开发者表示，他们在 Google 旗下的 Virustotal 上测试后发现，他们的程序或网站是干净的。

这引起了这些开发者的不满，他们认为 Google 给出的提示并不具体，该公司仅表示发现了恶意软件，但没有提供任何细节。而联系 Google 的唯一方式是通过邮件，想要得到回复需要1-3天，在这期间他们的程序和网站只能白白损失流量。

在这些开发者在 Google 论坛表示谴责后，该问题似乎已于12月3日得到解决，他们的网站和程序已经可以在没有警告信息的情况下访问和下载。部分软件可能仍会显示“此类文件可能会损害您的计算机”的提醒，但至少已可以将其下载到本地。

Google 并未对此事做出解释，所以暂时不清楚他们是否有偷偷调整安全策略，或是有其他因素导致问题的结束。

2、Node.js 基金会和 JS 基金会合并：已在讨论具体细节

10月份我们曾报道过 Node.js 基金会和 JS 基金会宣布合并意向的消息，合并意向意味着两个基金会的董事会已同意公开讨论与可能合并的有关事情，正在向社区征求意见。近日，Node.js 基金会在官网更新了合并进度，随着讨论会议的召开，两个基金会董事会都认为，一个紧密结合、致力于共同目标的基金会，将能够为 Node.js 和各种 JavaScript 项目提供更光明的未来。

此外，两个组织的合并将有助于简化基金会的日常运营，在努力实现互补目标的同时尽量减少冗余。这也将提供一个改善成员参与的机会，避免潜在成员在做选择时有所纠结和混淆。通过增加 JavaScript 生态系统和附属标准组织之间的协作，还可以更有效地为 JavaScript 生态中的任意项目创建更具活力的家。

目前，董事会正处于一个被称之为 “bootstrap” 的阶段，双方正在探索所有潜在的合并细节。 他们已经建立了一个 Joint Bootstrap Team ，以拟定合并后基金会的潜在组织结构、治理政策、技术框架或领导权等相关提案。需注意的是，文中有特意强调在两个董事会最终确认合并之前，不会开始去创建合并后基金会的法律相关内容。

后续 Node.js 基金会和 JS 基金会还将继续在社区和公开会议上征集相关意见，并尽量保持整个过程透明。

【业界资讯】

0、日本观光厅发现携程有超400个虚假订单

36氪讯，日本观光厅发现携程日文版将满房的酒店显示为空房，虚假订单超400个，怀疑其故意收取取消订单费用。

携程自查后发现，这些均为真实订单，为平台代理商包房销售模式。由于该模式在日本受到较大质疑，携程已将这部分房源下线，并与代理商配合，接受日本观光厅的资质能力审核。

1、中国外交部就美方要求加拿大拘押华为公司负责人提出严正交涉

36氪讯，12月9日，中国外交部副部长乐玉成紧急召见美国驻华大使布兰斯塔德，就美方无理要求加方拘押在加拿大温哥华转机的华为公司负责人提出严正交涉和强烈抗议。乐玉成指出，美方所作所为严重侵犯中国公民的合法、正当权益，性质极其恶劣。中方对此坚决反对，强烈敦促美方务必高度重视中方严正立场，立即采取措施纠正错误做法，撤销对中国公民的逮捕令。中方将视美方行动作出进一步反应。

2、工信部要求三大运营商明年起提供手机异地销号服务

工信部表示，高度重视用户反映的手机卡异地销户难问题，要求三家基础电信企业2019年1月1日起在全国正式提供手机号异地销户服务。目前，部分地区的运营商正在逐步试点开设手机号异地销户业务。中国移动、中国电信部分营业厅已可以代用户申请办理异地销户，但不能当场办理，且仍需等待数天；中国联通部分地区则采用手机营业厅方式办理相关业务。（新华每日电讯）

觉得这些资讯有帮助？请转发给更多人

关注 技术最前线 加星标，看 IT 要闻