CNET新聞專區：Dawn Kawamoto　　10/05/2005 網路瀏覽器Firefox的兩項安全漏洞被列為「極度嚴重」，因為網路上已出現相關的刺探 程式。 安全業者Secunia 週日發出的警告中表示，Firefox 1.0.3版被發現有跨站指令與遠端系 統存取瑕疵，但其他版本也可能有問題。 這兩項漏洞結合起來，可能會被有心人利用，但目前尚未接獲利用刺探程式發動攻擊的通 報。其中一個漏洞涉及”IFRAME”JavaScript URLs，這部份並未防止瀏覽記錄中的URL被 另一方執行。Secunia科技長Thomas Kristensen表示：「如果你造訪某個惡意網站，它能 竊取瀏覽記錄中其他網站的cookie資料。」攻擊者便可利用這些資訊盜用身份，或進入受 害者造訪過的密碼保護網站。 第二個漏洞位於InstallTrigger.install()的 IconURL參數。傳給這項參數的資訊在被使 用前並未適當地核對，攻擊者可藉此取得使用者特權。這個瑕疵能讓攻擊者取得並提升使 用者的系統權限。 需要新擴充套件與主題的使用者必須前往Mozilla更新服務，以手動方式安裝。 由於這兩個漏洞是在週末被發現，擁有Firefox的Mozilla基金會已採取防範措施，包括改 變其網路更新服務，並建議使用者暫時關閉JavaScript。 不過，Kristensen表示，經由第三方網站下載、安裝 Firefox的使用者還是有風險。他指 出：「此威脅依然存在，但現在比較不嚴重。民眾可以前往第三方網站安裝該軟體，但規 模不會和Mozilla網站一樣龐大。」（陳智文) 新聞連結 : http://taiwan.cnet.com/news/software/0,2000064574,20098944,00.htm -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 220.139.123.143 ※ 編輯: kumakevin 來自: 220.139.123.143 (05/10 23:26)