逛大街

網路安全廠商指出，在Firefox上發現的重大漏洞較之微軟IE可能引發的風險相去不遠，並可能因為所採用的Mozilla核心(Kernel)漏洞，引發安裝該軟體的多種作業系統遭受駭客攻擊。

賽門鐵克今日所發表的網路安全報告中指出，該公司在最近走紅的Firefox瀏覽器軟體上所發現的漏洞數量，其實與惡名昭彰的微軟IE相去不遠，並提醒一直以來認為Firefox比IE安全的用戶，要注意重大漏洞的程式更新，以免因為一時的疏忽而遭受攻擊。

賽門鐵克北亞區技術總監王岳忠表示，賽門鐵克在2004年下半年時，共記錄了13個IE漏洞、21個Mozilla漏洞，影響所及包括採用Mozilla 瀏覽器核心技術的Mozilla與Firefox瀏覽器，而在所發現的漏洞之中，被列為高度嚴重性者佔IE漏洞的69%；佔Mozilla瀏覽器漏洞的 52%，顯示出使用Mozilla系列瀏覽器仍有一定安全風險。

王岳忠強調道，屬後起新秀的Firefox一直以來普遍被認為比IE安全性高，可能的原因在於使用人數較少，未引起病毒、駭客攻擊的意願，但隨著幾起重大漏洞的發現，也揭露了使用Firefox的潛在風險。

他說，另一項值得注意的是，Firefox可被安裝在Windows、Linux，以及MAC等不同作業系統平台，將可能引發透過核心漏洞而來的跨平台駭客攻擊行為。

相較於微軟所提供的自動更新功能，Firefox僅在官方網站上提供更新版軟體供下載，為防可能發生的網路安全問題，使用者應不定期上網下載最新更新程式。

今 年一月初曾有安全廠商公佈Mozilla Firefox 1.0版的安全漏洞，該弱點可能讓駭客在下載對話框裡的URL位址動手腳，以假亂真。使用者試圖自某網站做下載動作時，對話框即彈出，由於對話框裡的子網 域與路徑的顯示不正確，會造成安全性露出破綻，給駭客趁機隱藏實際下載網址的機會，引發網路釣魚攻擊。

近年來透過系統漏洞而來的攻擊行為十分常見，使得各家軟體廠商紛起補救，其中以微軟動作最大，並為修補現有軟體漏洞一度延遲新產品的開發計畫，只是每年所發現的漏洞數量仍未見減緩。

王岳忠解釋道，現有系統漏洞以Web應用程式的漏洞新增比例最高，約佔所有漏洞數量的48%，，主要原因在於網路應用普及後，各家軟體廠商多加速Web應用的開發，因而壓縮軟體編寫的作業時間，導致Web應用程式的漏洞數量持續攀升。

Firefox主程式設計師Ben Goodger表示，Firefox 1.1將在原定時程的三個月後推出。

Goodger上週在個人網誌宣佈：「我希望不會有任何人感到意外，1.1將延遲一點推出，因為還有許多工作沒完成。」

某些報導隨後猜測延遲的原因是Goodger最近跳槽到Google，但他立刻否認。Goodger說：「還有，3月的延遲不是因為我加入Google； 那是因為我們必須確保1.1和1.0有完全一致的品質及規模 – 那代表一段時間的測試、局部化系統需要重新上線等等。這些事情需要我以外的更多人來完成，所以，別再作出奇怪的猜測。」

根據Mozilla網站刊登的Firefox最新開發時程表，Firefox 1.1原本預定2005年3月左右推出，但最終的版本現在延到2005年6月。

Mozilla義工David Hallowell指出，Firefox 1.1的主要目標之一，是改善非Windows使用者的瀏覽經驗。他說：「1.1的主要目標之一，是改善Linux和Mac使用者的經驗，讓他們也能擁有 適用於本身作業系統的Firefox版本，就像適用於Windows作業系統的Windows版一樣。」

Firefox 1.1主要是為了打入商用市場，讓這個開放原始碼瀏覽器可用Windows Installer格式下載，方便企業部署。若干分析師表示，企業大規模部署Firefox的例子很少。

Hallowell表示，由於編譯引擎的改進，1.1的瀏覽速度會更快。他說：「Gecko已經私下完成許多改進，這是Firefox、Mozilla和 其他瀏覽器如Camino所使用的編譯引擎。1.1將呈現這些改進，包括更快的網頁編譯、更好的標準支援，和進一步增加的改進。」

目前流通的Firefox 1.0自2004年11月推出後，下載次數已突破2,000萬次，正朝著5％的市場佔有率邁進，並且可能在2005年年底，拿下20％的市場。（陳智文