由于已经出现了利用它们的恶意代码,Firefox 浏览器中二个安全缺陷的危险等级被评定为了“极度危急”。
安全厂商Secunia 公司表示,Firefox 1.0.3 中存在跨站点脚本和远程系统访问缺陷,其它版本中也可能存在这二个缺陷。黑客可以综合利用这二个缺陷兴风作浪,但目前还没有黑客利用这二个缺陷的攻击事件出现。
一个缺陷与“IFRAME”JavaScript URL有关。Secunia 的技术总监托马斯·克里斯腾森说,如果访问了一个恶意网站,它就会窃取你以前访问网站的cookie信息。黑客可以利用这些信息窃取用户的身份,或访问其它采用密码保护的网站。
第二个缺陷存在于InstallTrigger.install()中的IconURL 参数中。在被使用前,传递给该参数的信息没有得到适当的检验,使黑客能够获得用户的权限。这一权限使黑客能够提高在系统上的用户权限。
由于这二个缺陷是在周末被发现的,Mozilla 基金会已经采取了预防性措施。它修改了更新服务,并建议用户临时关闭JavaScript功能。
但克里斯腾森表示,从第三方站点下载和安装Firefox 浏览器的用户仍然有受到攻击的危险。
(编辑:nuthead)
