作者kumakevin (N N )
看板Browsers
標題[-Fx-] Firefox兩漏洞出現攻擊程式
時間Tue May 10 22:59:27 2005
CNET新聞專區:Dawn Kawamoto 10/05/2005
網路瀏覽器Firefox的兩項安全漏洞被列為「極度嚴重」,因為網路上已出現相關的刺探
程式。
安全業者Secunia 週日發出的警告中表示,Firefox 1.0.3版被發現有跨站指令與遠端系
統存取瑕疵,但其他版本也可能有問題。
這兩項漏洞結合起來,可能會被有心人利用,但目前尚未接獲利用刺探程式發動攻擊的通
報。其中一個漏洞涉及”IFRAME”JavaScript URLs,這部份並未防止瀏覽記錄中的URL被
另一方執行。Secunia科技長Thomas Kristensen表示:「如果你造訪某個惡意網站,它能
竊取瀏覽記錄中其他網站的cookie資料。」攻擊者便可利用這些資訊盜用身份,或進入受
害者造訪過的密碼保護網站。
第二個漏洞位於InstallTrigger.install()的 IconURL參數。傳給這項參數的資訊在被使
用前並未適當地核對,攻擊者可藉此取得使用者特權。這個瑕疵能讓攻擊者取得並提升使
用者的系統權限。
需要新擴充套件與主題的使用者必須前往Mozilla更新服務,以手動方式安裝。
由於這兩個漏洞是在週末被發現,擁有Firefox的Mozilla基金會已採取防範措施,包括改
變其網路更新服務,並建議使用者暫時關閉JavaScript。
不過,Kristensen表示,經由第三方網站下載、安裝 Firefox的使用者還是有風險。他指
出:「此威脅依然存在,但現在比較不嚴重。民眾可以前往第三方網站安裝該軟體,但規
模不會和Mozilla網站一樣龐大。」(陳智文)
新聞連結 :
http://taiwan.cnet.com/news/software/0,2000064574,20098944,00.htm
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 220.139.123.143
推 Alica:轉貼新聞的話留個連結會比較好 163.25.104.20 05/10
※ 編輯: kumakevin 來自: 220.139.123.143 (05/10 23:26)
推 ajer001:這個是不是該說是樹大招風..FX說不定也會越來越 61.64.150.224 05/11
→ ajer001:多這種新聞..不過還是比ie感覺好..fx加油 61.64.150.224 05/11