Firefox有漏洞 明知是"钓鱼"网站也不拦截

【赛迪网讯】2月11日消息，安全研究人员日前表示，在Firefox浏览器中发现了一处安全漏洞，只要稍微更改页面上的URL链接，即可使Firefox的“反钓鱼”功能形同虚设。

据Vnunet网站报道，安全网站SecuriTeam称，通过该漏洞，即使“钓鱼”网站已经被列在Firefox的已知钓鱼网站列表中，但这些恶意网页仍能可以被正常访问，并显示为可信站点。

到目前为止，Mozilla尚未对此发表任何评论。

据Smartware此前一项研究结果显示，Firebox 2的反钓鱼功能要强于微软新版浏览器IE 7。报告显示，在最高安全安级别设置下，Firebox 2拦截了81.5%的钓鱼站点，而IE 7只拦截了66.35%。但该项调查是受Mozilla委托而进行的。

Mozilla首席运营官John Lilly上周曾表示，为了与微软争夺全球第二大互联网市场，Mozilla将在北京设立办事处。据Lilly透露，Mozilla目前在全球拥有8000万-1亿用户，而中国约为100万左右。(n104)

Beyound Security旗下的SecuriTeam声称在本周发现了Firefox浏览器的两个新漏洞，可能使本地文件很容易就受到外部攻击。在去年10月份 Firefox 2.0刚发布就有两起bug报告，但是被Mozilla予以驳斥。

第一个漏洞利用了Firefox的弹出窗口。浏览器默认不允许Web访问本地文件，但当用户手动关闭弹出窗口，这个URL许可检查就被屏蔽。若用户不小心点击了恶意链接，此链接会偷偷在目标文件中植入恶意代码，用户允许弹出的视频播放和下载黑客移植的文件就装载成功，结果使得黑客利用这一漏洞来窃取本地文件以及存储在这些文件中的个人信息。

第二个漏洞存在于Firefox自身的反钓鱼保护功能里。一个熟练的钓鱼者可以在web站点的URL中添加特殊字符串，使Firefox信任此站点是安全的。

看来bug是无时不有无处不在，据说这种漏洞可能仅存在于Firefox 1.5，而不影响Firefox 2.0。Beyond Security对此未作评论，Mozzilla对这次安全漏洞的报告也保持沉默。