火狐浏览器(Mozilla Firefox)是Mozilla基金会的产品,它是一款开源Web浏览器,引擎反应快,内存占用少。Firefox从2005年开始，每年都被媒体选为年度最佳浏览器。

　　不过近日，Mozilla修复了一个重要漏洞，该漏洞可以被攻击者利用来劫持同一WiFi网络上的所有安卓版火狐浏览器，并迫使用户访问钓鱼网站之类的恶意网站。以下是漏洞详情：

　　漏洞详情

　　此漏洞实际上位于Firefox SSDP组件中。SSDP表示简单服务发现协议机制，通过这一机制，Firefox可以在同一网络上查找其他设备以共享或接收内容(例如，与Roku设备共享视频流)。当找到设备后，Firefox SSDP组件将获取该设备配置存储的XML文件的位置。

　　不过根据安全研究员发现，在较旧版本的Firefox中，攻击者可以将Android“ intent”命令隐藏在此XML文件中，然后让Firefox浏览器执行“ intent”命令。它可以是一个常规命令，例如让Firefox访问一个链接。

　　为了更好地理解该漏洞如何被攻击者利用，可以设想一个场景：黑客走进机场或购物中心，连接到WiFi网络，然后在他们笔记本电脑上启动脚本，向网络发送恶意的SSDP数据包。

　　在这种攻击过程中，任何使用Firefox浏览器浏览网页的Android用户，其移动浏览器都将被劫持并访问恶意站点，或被迫安装恶意Firefox扩展程序。

　　另一种情况是，攻击者以易受攻击的WiFi路由器为目标。攻击者可以利用这些漏洞来接管控制过时的路由器，然后向公司的内部网络发送垃圾邮件，并迫使员工在网络钓鱼页面上重新进行身份验证。

　　目前Firefox 79 版本已经修复这一漏洞。不过可能还有很多用户没有更新到新版本，容易受到这一漏洞影响。桌面版本的Firefox用户不会受到影响。

　　受影响产品和版本

　　安卓(Android) Firefox v79 以下版本都会受到影响

　　解决方案

　　升级Android Firefox v79及更新版本可修复

　　文章来源：

　　https://www.zdnet.com/article/firefox-bug-lets-you-hijack-nearby-mobile-browsers-via-wifi/