当前位置:Linux教程 - Linux业界 - IE不安全Mozilla不保险 黑客曝Firefox严重漏洞

IE不安全Mozilla不保险 黑客曝Firefox严重漏洞

CNET科技资讯网10月2日国际报道 两名电脑黑客30日宣称,开放源代码Firefox浏览器处理java script的方式有一项严重漏洞。

Mischa Spiegelmock和Andrew Wbeelsoi在ToorCon黑客会议上表示,攻击者只要制作一个内含若干恶意java script源代码的网页,便可通过Firefox控制远端电脑。该漏洞影响Windows、苹果Mac OS X和Linux各版的Firefox。

在博客公司SixApart担任正职的Spiegelmock表示:“大家都知道,IE不怎么安全,但Firefox也非常不保险。”他详细说明该漏洞,展示相关攻击码的各个重要部分。

问题主要出在Firefox执行java script指令语言的方式。Spiegelmock表示,尤其是有不同的程序编写技巧能造成stack overflow错误。他说,Firefox的执行是“一团混乱…根本不可能修补”。

看过当天会场的录影后,Mozilla安全主管Window Snyder承认,java script问题是个真正的弱点。她说:“他们所说的可能是一种旧型攻击的变种,我们会进行一些调查。”

Snyder不乐见这么明显的威胁在会议上大肆曝光,她说:“看来他们拥有足够的信息让攻击者复制。我认为这是不幸的,因为使用者会陷入危险,而那似乎是他们的目的。”

另一方面,他们的说明或许也给Mozilla足够的信息修补该漏洞。然而,由于问题出在java script,解决方法可能比一般性的修补困难。

Snyder说:“如果问题出在java script虚拟器,就无法很快解决。”两名黑客宣称他们知道约30个Firefox漏洞,但不打算公布。

参加该会议的Mozilla安全职员Jesse Ruderman,曾尝试上台说服两名黑客以负责任的方式揭露安全漏洞,也就是通过Mozilla的抓错奖金计划,而非恶意地帮助疆尸网络的建立。

Ruderman说:“我真心希望你们改变主意,把漏洞通报我们然后领取500美元奖金,而不是用它们建立疆尸网络。”

两名黑客对这种笑置之,Wbeelsoi说:“这是一把双面刃,但我们所做的对整个网络有更大的好处,我们要为黑帽建立通讯网络。”