[-Fx-] Firefox兩漏洞出現攻擊程式

看板Browsers (瀏覽器)作者kumakevin (N N )時間19年前 (2005/05/10 22:49)推噓2(2推 0噓 1→)

留言3則, 2人參與討論串1/1

CNET新聞專區：Dawn Kawamoto　　10/05/2005 網路瀏覽器Firefox的兩項安全漏洞被列為「極度嚴重」，因為網路上已出現相關的刺探程式。安全業者Secunia 週日發出的警告中表示，Firefox 1.0.3版被發現有跨站指令與遠端系統存取瑕疵，但其他版本也可能有問題。這兩項漏洞結合起來，可能會被有心人利用，但目前尚未接獲利用刺探程式發動攻擊的通報。其中一個漏洞涉及”IFRAME”JavaScript URLs，這部份並未防止瀏覽記錄中的URL被另一方執行。Secunia科技長Thomas Kristensen表示：「如果你造訪某個惡意網站，它能竊取瀏覽記錄中其他網站的cookie資料。」攻擊者便可利用這些資訊盜用身份，或進入受害者造訪過的密碼保護網站。第二個漏洞位於InstallTrigger.install()的 IconURL參數。傳給這項參數的資訊在被使用前並未適當地核對，攻擊者可藉此取得使用者特權。這個瑕疵能讓攻擊者取得並提升使用者的系統權限。需要新擴充套件與主題的使用者必須前往Mozilla更新服務，以手動方式安裝。由於這兩個漏洞是在週末被發現，擁有Firefox的Mozilla基金會已採取防範措施，包括改變其網路更新服務，並建議使用者暫時關閉JavaScript。不過，Kristensen表示，經由第三方網站下載、安裝 Firefox的使用者還是有風險。他指出：「此威脅依然存在，但現在比較不嚴重。民眾可以前往第三方網站安裝該軟體，但規模不會和Mozilla網站一樣龐大。」（陳智文) 新聞連結 : http://taiwan.cnet.com/news/software/0,2000064574,20098944,00.htm -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 220.139.123.143