正在阅读：Firefox现CSS漏洞 可造成Facebook用户信息泄漏Firefox现CSS漏洞 可造成Facebook用户信息泄漏

　　【PConline资讯】因用户隐私问题，Facebook连日来一直处于风口浪尖。

　　6月1日，据外媒报道，由于部分浏览器的CSS漏洞，恶意的第三方网站同样可以收集Facebook的用户信息，如用户的个人资料图片和名字等。

　　不过这次的锅，得Firefox、Chrome等浏览器来背。

　　这个漏洞来自于2016年推出的一个标准Web功能，是CSS层叠样式表(CascadingStyleSheets)标准中引入的一项新功能，该功能称为“mix-blend-mode”混合模式，通过iframe将Facebook页面嵌入到第三方网站时候，可以泄露可视内容（也就是像素）。　 

　　据安全人员分析，此举可以帮助一些广告商将IP地址或广告配置文件链接到真实的人身上，从而对用户的在线隐私构成严重威胁。

　　据悉，CSS混合模式功能支持16种混合模式，并且在Chrome（自v49）和Firefox（自v59以来）中完全支持，并部分受Safari支持（自v11开始在iOS和v10.3上）。

　　在最新发布的研究中，来自瑞士谷歌的安全工程师RuslanHabalov与安全研究员DarioWei?er一起曝光了攻击者如何滥用CSS3混合模式从其他站点获取隐私信息。

　　该技术依赖于诱使用户访问攻击者将iframe嵌入到其他网站的恶意网站。在他们所举的例子中，Facebook的社交小部件中的两个嵌入式iframe中招，但其他网站也容易受到这个问题的影响。

　　Habalov和Wei?er表示，根据呈现整个DIV堆栈所需的时间，攻击者可以确定用户屏幕上显示的像素颜色。

　　正常情况下，攻击者无法访问这些iframe的数据，这是由于浏览器和远程站点中实施的反点击劫持和其他安全措施，允许其内容通过iframe进行嵌入。　　 

　　在线发布的两个演示中，研究人员能够检索用户的Facebook名称，低分辨率版本的头像以及他喜欢的站点。

　　在实际的攻击中，大约需要20秒来获得用户名，500毫秒来检查任何喜欢/不喜欢的页面的状态，以及大约20分钟来检索Facebook用户的头像。

　　攻击很容易掩盖，因为iframe可以很容易地移出屏幕，或隐藏在其他元素下面。

　　研究人员报告称，苹果的Safari浏览器、微软InternetExplorer和Edge浏览器还未受影响，因为它们还没有实现标准“mix-blend-mode”模式功能。