原文連結：http://www.digi-cit.com/cit/viewthread.php?tid=13138 官網更新：http://www.mozilla.com/en-US/firefox/3.0.5/releasenotes/ Mozilla已釋出安全更新，修補Firefox瀏覽器、Thunderbird電子郵件用戶端程式以及 SeaMonkey應用程式的重大安全漏洞，以免使用者的私密資料外洩。 Mozilla建議使用者更新至周二發布的3.0.5版Firefox、2.0.0.19版的Thunderbird，和 1.1.14版的SeaMonkey。 這次修正的安全弱點出現在舊版的Firefox 3，以及Firefox 2的各種版本。 資安研究公司Secunia周三發表研究報告指出：「Mozilla Firefox傳出內有一些安全弱點 ，可能遭惡意人士利用來迴避若干安全限制、揭露敏感資料、進行跨站腳本攻擊(cross- site scripting attack)，甚至有可能接管使用者的電腦系統。」 具體來說，可能有三種情況。 一，惡意人士可能利用layout錯誤或JavaScript引擎錯誤，蓄意損壞記憶體，趁機執行來 路不明的程式碼。 二，執行'persist' XUL attribute時出現的錯誤，可能被利用來迴避cookie設定，並且 在後續的瀏覽sessions中獨一無二地辨識出某個使用者。 三，多重錯誤可利用來迴避相同來源政策(same-origin policy)、揭露敏感資料，並以 chrome權限執行JavaScript程式碼。 Mozilla已發出一份安全通知，解決這三種程式(Firefox、Thunderbird與SeaMonkey)潛在 的重大安全漏洞。這些安全漏洞可能起因於記憶毀損，造成惡意攻擊者從使用者電腦發動 惡意程式攻擊。 Mozilla另提到，這三種程式內含第二組重大安全弱點，可能造成使用者在逛合法網站時 被挾持到惡意的網站，導致使用者的隱私資料在那裡遭到竊奪。第三組重大安全漏洞可 能導致駭客從不同的網站發動惡意的JavaScript程式攻擊。 -- 屏東版的專屬討論區 http://www.digi-cit.com/cit/forumdisplay.php?fid=64 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 218.173.192.68