Fue reportado por primera vez en abril de 2007, pero hasta ahora Mozilla no lo ha solucionado. La forma en la que es explotado tampoco es nada nuevo, son trampas usuales de sitios web fraudulentos, pero que gracias al bug en Firefox que navegadores como Chrome y Edge sí han solucionado, el usuario puede quedar atrapado en la web maliciosa.
El bug en cuestión puede ser explotado si un sitio web malicioso inserta un _iframe_ o marco incorporado dentro de su código fuente que se presenta como una petición de autenticación HTTP en otro dominio. Es decir, cuando el usuario entra en el sitio puede ver mensajes emergentes de autenticación falsos y además no los puede cerrar.
El problema fue reportado (otra vez, con este reporte son ocho en 11 años) hace un par de días por el usuario Guo Yunhe en los foros de Mozilla. Explica que mientras navegaba por un sitio web vio aparecer un popup con anuncios. Como al principio pensó que era solo una publicidad molesta en el sitio, intentó cerrarlo pero no pudo.
El diálogo inescapable
Primero se abre en pantalla completa con un diálogo falso que intenta convencer al usuario que instale sus extensiones. Si presionas ESC puedes salir de pantalla completa, pero no funcionan ni el botón de cerrar pestaña ni ventana porque el marco falso para iniciar sesión está bloqueando el click.
Si el usuario intenta cerrar el marco o hacer click en cancelar, el dialogo simplemente aparece de nuevo. La única solución es terminar el proceso del navegador de forma manual. Algo que muchos usuarios desconocen cómo hacer y si se presentan mensajes de advertencia lo suficientemente efectivos como para engañar a alguien con pocos conocimientos, el usuario puede terminar instalando todo lo que el sitio web le diga, o hasta ingresando información personal sensible para liberarse de los marcos.
En Edge y Chrome no pasa lo mismo cuando el usuario se encuentra con este tipo de marcos agresivos porque ambos navegadores han implementado formas para permitir que el usuario cierre la pestaña o el navegador en esos casos. Con Firefox tendrías que abrir el Administrador de tareas de Windows y matar el proceso.
Vía | ZDNet
Ver 12 comentarios