May 11,2005 20:33
Firefox 1.0.3 兩漏洞出現攻擊程式
Firefox 1.0.3 在上週被發現兩個嚴重的漏洞,這個禮拜就傳出有針對這兩個漏洞的破解程式。以下節錄自 cnet 新聞:
網路瀏覽器Firefox的兩項安全漏洞被列為「極度嚴重」,因為網路上已出現相關的刺探程式。
安全業者Secunia 週日發出的警告中表示,Firefox 1.0.3版被發現有跨站指令與遠端系統存取瑕疵,但其他版本也可能有問題。
這兩項漏洞結合起來,可能會被有心人利用,但目前尚未接獲利用刺探程式發動攻擊的通報。其中一個漏洞涉及”IFRAME” JavaScript URLs,這部份並未防止瀏覽記錄中的URL被另一方執行。Secunia科技長Thomas Kristensen表示:「如果你造訪某個惡意網站,它能竊取瀏覽記錄中其他網站的cookie資料。」攻擊者便可利用這些資訊盜用身份,或進入受害者造訪過的密碼保護網站。
第二個漏洞位於InstallTrigger.install()的IconURL參數。傳給這項參數的資訊在被使用前並未適當地核對,攻擊者可藉此取得使用者特權。這個瑕疵能讓攻擊者取得並提升使用者的系統權限。
Firefox 前不久才達到下載五千萬人次的紀錄,現在就被發現存在漏洞,而且洞還不小。其實,只要是軟體,難免都會存在著 Bug 跟漏洞,以前 IE 總是被拿放大鏡檢視,問題漏洞一個接著一個被揭發,所以 Firefox 如果想繼續在市場上跟 IE 競爭,我想 Firefox 開發小組勢必要有心理準備,以後一定會有更多類似的問題產生。使用者也要有所了解,Firefox 並不會比 IE 安全到哪去,適時的更新軟體以及良好的網頁瀏覽習慣才是避免被駭的良方。
針對這兩個嚴重的漏洞,Firefox 即將釋出 1.0.4 版來修正,不過目前還在 Release Candidate 階段,或許過不久就會正式釋出了。
<<進階閱讀>>
針對這兩個嚴重的漏洞,Firefox 即將釋出 1.0.4 版來修正,不過目前還在 Release Candidate 階段,或許過不久就會正式釋出了。
<<進階閱讀>>
- Firefox兩漏洞出現攻擊程式
- Exploit code chases two Firefox flaws
- Mozilla Arbitrary Code Execution Security Flaw
- 1.0.4 candidate builds
- MozillaZine
引用URL
http://cgi.blog.roodo.com/trackback/122031