阅读:3290回复:20
Firefox 爆出了一個新漏洞,但所幸已經被補上了
昨天,有人在一家俄羅斯新聞網站的廣告內發現了一個嚴重的Firefox漏洞,據稱它會繞過瀏覽器的「源頭政策(origin policy,第一道安全防線)」,植入惡意 javascript 腳本,竊取裝置上的敏感數據並將其上載至位於烏克蘭的伺服器。不過按照 Mozilla 的說法,這個漏洞所帶來的風險主要是「針對開發者」,它瞄準的都是瀏覽器和 FTP 配置檔案,而且攻擊的時候「不會在裝置上留下痕跡」。
據稱目前該漏洞只會影響到 Windows 和 Linux 電腦,Mac 暫時還比較安全。當然囉,官方的建議,還是儘快將各平台的 Firefox 升級到已將漏洞補上的 39.0.3 版本,這樣一來攻擊者就無機可乘了。值得一提的是,所幸第一個發現此事的,是一位名叫 Cody Crews 的安全研究員。他第一時間將問題報告給了 Mozilla,所以各位在趕緊去更新的同時,也在心裡感謝一下他吧。 |
|
1楼#
发布于:2015-08-08 07:54
原生大法好,退 pdfjs 保平安
https://www.firefox.net.cn/read-51127 |
|
|
2楼#
发布于:2015-08-08 08:39
aaaa007cn:原生大法好,退 pdfjs 保平安js不是工作在沙盒内的吗? |
|
|
3楼#
发布于:2015-08-08 08:49
pcxfirefox:js不是工作在沙盒内的吗?回到原帖天知地知 Cody Crews 知 mozilla 知 你不知我不知 看另一个帖子 mozilla blog 语焉不详 而 bug 1178058 又访问限制 |
|
|
4楼#
发布于:2015-08-08 10:01
pcxfirefox:js不是工作在沙盒内的吗?回到原帖根据 https://hg.mozilla.org/releases/mozilla-esr38/file/63989e580394/docshell/base/nsDocShell.cpp#l1601 猜测,估计是页面js用某种方式跳到chrome上下文了,也即是描述所说的绕过同源策略、注入脚本。然后用chrome下的相关API及权限来读取固定路径的本地文件,再转交一下,post出去。 不知道为什么没提遍历目录搜寻文件,无价值/性能问题而无价值/无法实现吗。 其实就是网页js提权漏洞吧,只是影响很大,不知道以前是怎么避免的。 |
|
5楼#
发布于:2015-08-08 15:20
而Android版滴Firefox没有整合PDF阅读器米有问题。PDF本身就经常有漏洞以后这方面滴漏洞或有关的可能也会经常出现,Firefox总有一天会意识到一定要把PDF蹬出。
|
|
6楼#
发布于:2015-08-08 16:06
qweszxc:而Android版滴Firefox没有整合PDF阅读器米有问题。PDF本身就经常有漏洞以后这方面滴漏洞或有关的可能也会经常出现,Firefox总有一天会意识到一定要把PDF蹬出。回到原帖我怎么觉得跟PDF关系不大,又不是Flash那样的封闭格式,开发过程中的问题而已。 如果有漏洞就踢出去,Flash、JS、DOM、Cookies、SSL等早就踢光了。 https://www.mozilla.org/en-US/security/advisories/ 查找pdf结果是3项,不知道算多算少。 |
|
7楼#
发布于:2015-08-08 16:55
yfdyh000:我怎么觉得跟PDF关系不大,又不是Flash那样的封闭格式,开发过程中的问题而已。PDF真的可以踢现在就可以踢而Flash暂时还踢不了的,即便跟PDF关系不大以后PDF的大漏洞是一波接一波的。所以火狐还是要有个能让人选择是否使用PDF的开关就好了。 |
|
8楼#
发布于:2015-08-08 16:59
另外对于网上安全阅读PDF是要有防范安全意识的不是逮到就读的。这个不是三言两语能说的清的,看人品了。
|
|
9楼#
发布于:2015-08-08 17:33
|
|
10楼#
发布于:2015-08-08 19:40
pdfjs按照现mozilla瘦身策略,迟早剥离为附加组件
|
|
|
11楼#
发布于:2015-08-08 23:32
|
|
|
12楼#
发布于:2015-08-10 11:37
我就是问问,39.0.3现在可以看pdf吗?到底还有问题没?
|
|
|
13楼#
发布于:2015-08-10 16:50
ESR 31.8还不升啊
|
|
|
14楼#
发布于:2015-08-10 17:37
|
|
|
上一页
下一页