| 网站地图 |
CopyRight © 2004-2007 软讯网络 All Rigths Reserved.
其中最严重的是一个影响Mozilla的1.7.5以前版本的bug,它可以导致系统崩溃或恶意代码的执行,据Mozilla项目组称。一个在Mozilla处理"news://"这样的地址的时候的边界错误可能会导致基于堆的缓存区溢出,这会导致程序的崩溃和允许一些代码的执行,iSEC安全研究所的Maurycy Prodeus称,他最早发现了这个漏洞。
攻击者可以在e-mail或网页里面创建一个过长的"news://"链接来吸引用户的点击,通过这样的方式来利用这个漏洞设施攻击。这种方法已经被成功的用来传播了有些蠕虫。Mozilla 1.7.5版本已经修正了这个问题.独立安全研究机构Secunia 给这个bug标以"高危险性"。
为了利用这一漏洞,攻击者必须指定一个可访问的新闻服务器。Prodeus曾做个试验证明这样是可行的。
Firefox和Thunderbird受到其他一些稍微轻微点问题的影响。Firefox在存储临时文件时存在问题--文件有的时候以一些可预测的名字存储而且这种格式任何人都可以访问。研究人员表示这意味着局域网内的攻击者可以很轻易的访问到这些内容,包括下载的附件。
最后,一个Secunia 的研究人员发现一种欺骗Firefox用户下载文件名称的方法。恶意站点可以利用这个bug来伪装用户真正在下载的文件,或者取得本地存在的某个特定文件的信息。
这些bug在Firefox1.0或更新版本以及Thunderbird0.9或更新版本中已经修复。
最近的几个月许多用户正是由于不断增长的影响微软IE的安全风险而转而使用像Firefox和Mozilla这样的浏览器的。但是新近基于Mozilla的浏览器的流行也伴随着更多的安全研究人员的审查和不断被报道的漏洞发现。