作者nick1119 (C大叔)
看板Browsers
標題[-Fx-] Mozilla更新修補重大安全漏洞
時間Sun Dec 21 15:54:07 2008
原文連結:
http://www.digi-cit.com/cit/viewthread.php?tid=13138
官網更新:
http://www.mozilla.com/en-US/firefox/3.0.5/releasenotes/
Mozilla已釋出安全更新,修補Firefox瀏覽器、Thunderbird電子郵件用戶端程式以及
SeaMonkey應用程式的重大安全漏洞,以免使用者的私密資料外洩。
Mozilla建議使用者更新至周二發布的3.0.5版Firefox、2.0.0.19版的Thunderbird,和
1.1.14版的SeaMonkey。
這次修正的安全弱點出現在舊版的Firefox 3,以及Firefox 2的各種版本。
資安研究公司Secunia周三發表研究報告指出:「Mozilla Firefox傳出內有一些安全弱點
,可能遭惡意人士利用來迴避若干安全限制、揭露敏感資料、進行跨站腳本攻擊(cross-
site scripting attack),甚至有可能接管使用者的電腦系統。」
具體來說,可能有三種情況。
一,惡意人士可能利用layout錯誤或JavaScript引擎錯誤,蓄意損壞記憶體,趁機執行來
路不明的程式碼。
二,執行'persist' XUL attribute時出現的錯誤,可能被利用來迴避cookie設定,並且
在後續的瀏覽sessions中獨一無二地辨識出某個使用者。
三,多重錯誤可利用來迴避相同來源政策(same-origin policy)、揭露敏感資料,並以
chrome權限執行JavaScript程式碼。
Mozilla已發出一份安全通知,解決這三種程式(Firefox、Thunderbird與SeaMonkey)潛在
的重大安全漏洞。這些安全漏洞可能起因於記憶毀損,造成惡意攻擊者從使用者電腦發動
惡意程式攻擊。
Mozilla另提到,這三種程式內含第二組重大安全弱點,可能造成使用者在逛合法網站時
被挾持到惡意的網站,導致使用者的隱私資料在那裡遭到竊奪。第三組重大安全漏洞可
能導致駭客從不同的網站發動惡意的JavaScript程式攻擊。
--
屏東版的專屬討論區
http://www.digi-cit.com/cit/forumdisplay.php?fid=64
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 218.173.192.68
推 jtmh:Windows 版的 Firefox 2.0.0.19 已經又有 2.0.0.20 出來了, 12/21 16:06
→ jtmh:其他平台不受影響。 12/21 16:06
推 norlan17m:Thunderbird還沒看到20019 12/21 17:03
推 Raza:Firefox也Windows化了嗎?呵呵 12/22 18:50
→ EqualMan:沒有無懈可擊的軟體啊 Firefox也有本錢樹大招風了XD 12/22 21:43
推 bestpika:搭配NOSCRIPT套件用吧 12/24 01:00