駭客公佈Mozilla火狐流覽器漏洞攻擊代碼

駭客公佈Mozilla火狐流覽器漏洞攻擊代碼


在駭客公佈了漏洞細節後，Mozilla公司正在修補這一Firefox流覽器漏洞，該漏洞會讓犯罪者在受害者的機器上運行未授權軟體。

該漏洞存在於Firefox的URL處理器組件中，也是Mozilla週二發佈的另一漏洞的來源。

第二個漏洞由分別來自於Verisign股份有限公司和企業合夥人Ernst & Young的安全顧問Billy Rios和 Nathan McFeters在週二發佈。

來自nCircle Network Security 的安全研究工程師Tyler Reguly說，像第一個漏洞一樣，這個漏洞也能使駭客進入受害者電腦中不用授權啟動程式，它們兩者都涉及到URL處理程式，只是程式中不同的錯誤的區別。

Reguly還說到，即使由Rios 和 McFeters發佈的代碼只能用來啟動受害者電腦中已經安裝的程式，但如果被犯罪者利用仍然是非常危險的。它能讓你運行存在于受害者電腦中的任何程式，你可以用它來做相當壞的事情。比如，使用command-line FTP從某處的伺服器下載惡意檔然後執行此檔。

Reguly說受害者會被騙點擊惡意鏈結而導致攻擊發生。

Mozilla的首席安全官Window Snyder表明她的團隊正在校驗與修補這一最新漏洞。

自從安全研究員Thor Larholm指出Internet Explorer (IE) 和 Firefox互動作用後可以不經授權啟動用戶電腦裏的軟體，Firefox的URL處理器就成為了Mozilla的一個頭疼問題。攻擊過程是IE從一個網站下載畸形資料，然後發送給能夠不用授權啟動軟體的Firefox。

微軟和Mozilla在誰存在過失的問題上態度不一致。最初Snyder說攻擊不會只在Firefox上單獨發生，微軟應改變IE向其他程式傳送資料的方式。微軟則表示問題出在Firefox上面。

在週二公佈第一個URL處理器漏洞細節的同時，Snyder承認她錯了，“我們以前認為問題發生在IE上。原來，Firefox也有問題，”她說，“我們應該早就面對這一情況。”

Mozilla計畫在即將發行的2.0.0.6流覽器中解決這個問題。Snyder沒有說明Billy Rios公佈的漏洞何時出補丁。