当前位置: 首页>>青青操插 >>Mozilla分发Firefox Bug Zapper

Mozilla分发Firefox Bug Zapper

添加时间:    

Mozilla周四发布了一个更新,更正了Firefox Web浏览器中的几个漏洞。

Firefox 2.0.0.12修补了可能导致网页浏览历史记录和向前导航窃取的严重缺陷;可能允许跨站点脚本攻击的特权升级;并与记忆腐败的证据崩溃。

Sophos高级安全分析师Mike Haro表示,火狐的更新是一整周的关键补丁 - Adob​​e Reader,QuickTime和Skype也报告了漏洞。 “

”这些Firefox漏洞中的一些被视为至关重要,这是因为隐私问题,尤其是Firefox的便捷会话恢复功能,以及未经授权的用户如何使用这些功能来访问某些敏感信息。还将继续。

火狐浏览器在微软IE浏览器上的用户数量仍然远远落后,使得它在网络犯罪分子利用浏览器代码中的漏洞盗取用户的个人信息的目标已经不复存在。但是,这并不意味着运行Firefox的消费者和企业可以放弃安装更新。 “

”如果你想使用Firefox或(苹果)的Safari浏览器,它们不会像Internet Explorer那样经常被定位,但是它们不会受到攻击,也不是世界上最安全的应用程序。 Frost&Sullivan分析师罗德里格斯(Rodriguez)。

他告诉LinuxInsider,四个不太严重的漏洞--MFSA 2008-11,MFSA 2008-10,MFSA 2008-09和MFSA 2008-08 - 将在攻击中扮演支持角色。 “

”例如,一个人可能会采取网络钓鱼式的攻击,其中一个,2008-09,只是一个烦恼,在保存一个文件后,会询问是否要再次保存,这比其他任何事情都更令人烦恼,但是你可以想象如何将这些组合成一个成功的攻击,并让你保存另一个程序,它们必须与恶意软件结合使用才能取得成功的攻击。“罗德里格斯解释说。

在三个最严重的漏洞 - MFSA 2008-01,MFSA 2008-03和MFSA 2008-06 - 罗德里格斯说2008-06是最令人担忧的。据Mozilla称,它可能被用来“窃取用户的导航历史,转发导航信息并使用户的浏览器崩溃”。此外,Mozilla还报告说,这次事故“显示了内存损坏的迹象,并可能被利用来运行任意代码”。

罗德里格斯称那些最糟糕的。他指出:“2008 - 06年,他们窃取信息,崩溃浏览器,最糟糕的是他们可以在机器上运行任意代码。” “01允许他们运行任意代码,并为独立的攻击工作。”

罗德里格斯指出,黑客将2008-01和2008-08结合在一起。 “

”08是一个很有意思的事情,它的评价是温和的,你可能认为它本身就是一个烦恼,但是它可以让黑客在点击之前弹出一些东西,想象一下你想点击“否”但是在你点击之前弹出,并且显示“是的,我想下载这个可执行文件”。它本身是一个中等风险,但是与2008-01一起,这将帮助黑客让你上传他们想要的可执行文件并运行任意代码。

Mozilla给出了其余的错误 - 2008-02,2008-04和2008-05 - 评级从中等到高。 Mozilla表示,在这个小组中,Gerry Eisenhaur报告的2008 - 05年度问题最为严重,因为这个漏洞可能不适当地允许目录遍历,可以用来从已知位置的本地文件加载JavaScript,图像和样式表。

但是,只有当浏览器安装了使用扁平包装而不是更流行的.jar包装的附加组件时,遍历才是可能的。攻击者需要针对特定​​的附件,软件制造商继续。

另一位Mozilla研究员moz-bug-r-a4也报告说,这个bug可能被用来窃取浏览器sessionstore.js文件的内容。该文件包含会话cookie数据和有关当前打开的网页的信息。

Haro指出,漏洞可能被犯罪分子广泛利用的危险很小,但开源浏览器确实受到攻击。

“但是 就针对Windows的攻击量而言,它们是海洋中的一个下降。 Mozilla应该因为对已知问题的响应而受到欢迎,“他总结道,

随机推荐

网站导航 福利地图