May 12,2005
FIREFOX 1.0.3 嚴重漏洞
最近發現兩個關於javascript的嚴重漏洞
不過我並不擔心會造成什麼影響
反正很快就會補上
不像某市佔率最高的瀏覽器.....
補洞慢的跟什麼一樣~
不過我並不擔心會造成什麼影響
反正很快就會補上
不像某市佔率最高的瀏覽器.....
補洞慢的跟什麼一樣~
CNET新聞專區:Dawn Kawamoto 10/05/2005
網路瀏覽器Firefox的兩項安全漏洞被列為「極度嚴重」,因為網路上已出現相關的刺探
程式。
安全業者Secunia 週日發出的警告中表示,Firefox 1.0.3版被發現有跨站指令與遠端系
統存取瑕疵,但其他版本也可能有問題。
這兩項漏洞結合起來,可能會被有心人利用,但目前尚未接獲利用刺探程式發動攻擊的通
報。其中一個漏洞涉及”IFRAME”JavaScript URLs,這部份並未防止瀏覽記錄中的URL被
另一方執行。Secunia科技長Thomas Kristensen表示:「如果你造訪某個惡意網站,它能
竊取瀏覽記錄中其他網站的cookie資料。」攻擊者便可利用這些資訊盜用身份,或進入受
害者造訪過的密碼保護網站。
第二個漏洞位於InstallTrigger.install()的 IconURL參數。傳給這項參數的資訊在被使
用前並未適當地核對,攻擊者可藉此取得使用者特權。這個瑕疵能讓攻擊者取得並提升使
用者的系統權限。
需要新擴充套件與主題的使用者必須前往Mozilla更新服務,以手動方式安裝。
由於這兩個漏洞是在週末被發現,擁有Firefox的Mozilla基金會已採取防範措施,包括改
變其網路更新服務,並建議使用者暫時關閉JavaScript。
不過,Kristensen表示,經由第三方網站下載、安裝 Firefox的使用者還是有風險。他指
出:「此威脅依然存在,但現在比較不嚴重。民眾可以前往第三方網站安裝該軟體,但規
模不會和Mozilla網站一樣龐大。」(陳智文)
新聞連結 : http://taiwan.cnet.com/news/software/0,2000064574,20098944,00.htm
網路瀏覽器Firefox的兩項安全漏洞被列為「極度嚴重」,因為網路上已出現相關的刺探
程式。
安全業者Secunia 週日發出的警告中表示,Firefox 1.0.3版被發現有跨站指令與遠端系
統存取瑕疵,但其他版本也可能有問題。
這兩項漏洞結合起來,可能會被有心人利用,但目前尚未接獲利用刺探程式發動攻擊的通
報。其中一個漏洞涉及”IFRAME”JavaScript URLs,這部份並未防止瀏覽記錄中的URL被
另一方執行。Secunia科技長Thomas Kristensen表示:「如果你造訪某個惡意網站,它能
竊取瀏覽記錄中其他網站的cookie資料。」攻擊者便可利用這些資訊盜用身份,或進入受
害者造訪過的密碼保護網站。
第二個漏洞位於InstallTrigger.install()的 IconURL參數。傳給這項參數的資訊在被使
用前並未適當地核對,攻擊者可藉此取得使用者特權。這個瑕疵能讓攻擊者取得並提升使
用者的系統權限。
需要新擴充套件與主題的使用者必須前往Mozilla更新服務,以手動方式安裝。
由於這兩個漏洞是在週末被發現,擁有Firefox的Mozilla基金會已採取防範措施,包括改
變其網路更新服務,並建議使用者暫時關閉JavaScript。
不過,Kristensen表示,經由第三方網站下載、安裝 Firefox的使用者還是有風險。他指
出:「此威脅依然存在,但現在比較不嚴重。民眾可以前往第三方網站安裝該軟體,但規
模不會和Mozilla網站一樣龐大。」(陳智文)
新聞連結 : http://taiwan.cnet.com/news/software/0,2000064574,20098944,00.htm
引用URL
http://cgi.blog.roodo.com/trackback/123468
![[Syndicate this site]](http://cdn.rimg.tw/images/blog/rss.gif "Syndicate RSS feed"){kind=small}
![[Syndicate this site]](http://cdn.rimg.tw/images/blog/atom.gif "Syndicate ATOM feed"){kind=small}
