2005/05/10 | Firefox又发现严重安全漏洞 可执行恶意代码
类别(网络风) | 评论(0) | 阅读(61) | 发表于 05:50
Firefox又发现严重安全漏洞 可执行恶意代码

Mozilla基金会的Firefox浏览器中发现了一个严重的安全漏洞,能够让恶意网站在用户计算机上执行恶意代码。 Secunia安全公司可能是最准确地描述这个安全漏洞的安全公司之一。据该公司称,这是迄今为止该公司在Firefox浏览器中发现的第一个“极为严重”的安全漏洞。

Secunia发表的安全公告称,利用Firefox的两个安全漏洞可以成功地实施网络攻击。一个安全漏洞是诱骗Firefox浏览器相信启动软件运行的程序来自于一个安全的网站,另一个安全漏洞是软件启动程序不能够充分检查URL地址中包含的javascript代码。这个安全公告建议用户关闭javascript功能,作为避开这个安全漏洞的措施。不过,关闭软件安装功能也可以消除这个问题。

这个安全漏洞是由Greyhats安全公司的保罗和安全研究人员Michael Krax发现的。保罗对如何利用这个安全漏洞撰写了一个详细的说明。他说,攻击者首先利用多窗口页面和一个javascript历史的安全漏洞,使安装的软件看起来好像是来自mozilla网站的附加软件升级程序。在这种伪装之下,黑客就可以实施真正的破坏的活动了。

这个安全漏洞的利用需要黑客启动一个来自安全网站列表的安装程序。幸运的是Mozilla基金会控制了在缺省软件安装的安全网站列表中的全部网站,允许用户采取在服务器上进行Mozilla升级程序的验证等预防性的措施。因此,如果用户不在那个安全网站列表中增加额外的网站就不会有风险。

保罗和mikx是在5月2日向Mozilla基金会报告这个安全漏洞的,并且把这个安全漏洞编号为“292691”。他们的做法是符合Mozilla基金会的安全规定的,因为只有安全团队的成员才能够查阅这个文件。然而,有人发现了这个文件并且公开发表了利用这个安全漏洞的方法。法国安全事件反应小组首先做出了反应,根据泄漏的信息发布了安全警告。保罗谴责了泄漏安全漏洞的行为,称这种行为是不负责任的。Mozilla基金会预计很快将发布Firefox 1.0.4的升级程序。
0

评论Comments

日志分类
首页[178]
日记/收藏[19]
我的作品[11]
flash相关[13]
图片相关[17]
动画相关[16]
风采文章[16]
网络风[75]
音乐/影视[11]