В октябре этого года разработчики Mozilla добавят в свой браузер Firefox новую функцию безопасности, препятствующую автоматической загрузке и установке вредоносного ПО с веб-сайтов. Начиная с Firefox 82, обозреватель будет блокировать все загрузки файлов, выполняемые из изолированного iframe.
Атаки такого типа называются «попутной загрузкой» и используются злоумышленниками много лет. С их помощью осуществляется загрузка вредоносного ПО в момент, когда пользователь посещает сайт, на страницах которого размещён специальный код. Размещаемый на таких сайтах вредоносный код инициирует автоматическую загрузку или запрашивает разрешение, в случае подтверждения которого на ПК жертвы доставляется вредоносное ПО. В зависимости от того, какую функцию браузера используют злоумышленники, атаки такого типа могут отличаться друг от друга.
Разработчики популярных браузеров, таких как Chrome и Firefox, на протяжении многих лет интегрировали в свою продукцию разные инструменты защиты от автоматической загрузки файлов. Однако обеспечить полную защиту оказалось не так просто, поскольку разработчики не могут блокировать легитимные веб-функции, а также из-за того, что злоумышленники регулярно выявляют новые уязвимости и используют их в своих атаках.
Очередным шагом в этом направлении стала блокировка загрузок, инициированными «изолированными фреймами» (iframe), которые часто используются для загрузки рекламы и виджетов на разных сайтах. Впервые блокировка загрузки из iframe появилась в браузере Chrome 73, который был выпущен в марте 2019 года. В мае этого года Google выпустила Chrome 83, из которого эта функция была полностью удалена.
Источник: 3dnews.ru