阅读:2836回复:9
新版Firefox又现漏洞 可泄漏用户敏感信息
天极网4月5日消息 据丹麦安全公司Secunia称,Mozilla基金会的开源软件浏览器Firefox和Mozilla的JavaScript引擎存在安全漏洞,容易使网络用户受到攻击。黑客可以利用这个安全漏洞获取用户计算机当前内存中存储的信息(而不是存储在硬盘中的信息)。
据Mozilla基金会称,使用JavaScript脚本引擎中的“lambda”替代法可在运行JavaScript字符串结束之后暴露出一些专用的内存空间。利用这个安全漏洞可以获得内存中敏感的信息。 最新的Firefox 1.0.2版和Mozilla 1.7.6版软件已经证实存在这个安全漏洞。目前,还没有修复这个安全漏洞的补丁。不过,开发人员正在研制这种补丁。 Secunia安全公司建议用户暂时关闭这些浏览器软件中支持JavaScript的功能。Secunia把这些安全漏洞评级为“中等严重”的安全漏洞。 Secunia制作了一个测试程序,Firefox和Mozilla的用户可以进行测试,以便验证是否存在安全漏洞。(完) 我刚升到1.0.2,看来又要升级了. |
|
1楼#
发布于:2005-04-05 12:38
偶正在使用1.03版的,估计也没补上补丁
|
|
2楼#
发布于:2005-04-05 12:38
这个漏洞应该在1.03补上吧, 因为是存在于1.02版的吗.
|
|
3楼#
发布于:2005-04-05 12:38
yeh,估计1.0.3会补,虽然我看不出来这个漏洞如何危险,secunia的测试显示他们可以读我的内存字符。结果是:
s N V 7 # ; ParameterizedDoPasscard(true); Verdana Arial Helvetica sans-serif serif f52fe7b274dadf306aea641d24c826 1 1 1 1 1 1 ( Z i K Gore Launches TV Channel for Young Viewers ( viewforum.php?f=4&topicdays=0&start=1950 sborient=orient l - ' G G e L tabbrowser = this.parentNode; while (tabbrowser.localName = 'tabbrowser') tabbrowser = tabbrowser.parentNode; tabbrowser.updateTabPopupMenu(this tabbrowser.mContextTab); L s 1 m 5 T 6 5 5 W V 5 D V 5 d menuitem P : 1 i 1 1 er B r(75 16359); timer(91 1447); timer(90 1446); timer(89 1445); 1440 parentNode 1 1 g 42 e 0 m 5 T 6 5 5 W V 5 D V 5 1 P ? item 8 lign / e ? gPrefService.setBoolPref('datacard.messagebar.enable' 'false'); navigator ( 7 ; r(69 16353); timer(69 16353); timer(74 1430); timer(73 1429); 69 5 QUOTE="superman" Firefox IE Firefox IE Java IE Linux ...... /QUOTE l 5 X images/header_logo.gif 1 1 " 1 2 4 1 e images/header_tr.gif d 0 verdana helvetica arial serif 1 5 5 5 5 rap m 5 T 6 5 5 W V 5 D V 5 .m ) l t t s ) 4 ( # T / ; 4 ' ' m 5 T 6 5 5 W V 5 D V 5 WHITE a 1 ) ht 8 P C Z ass 1 __proto__ N t viewforum.php?f=22 1 ; 1 1 1 1 1 1 1 1 16240 verdana helvetica arial serif mini_search.gif 1 1 viewtopic.php?t=18&start=120 & ( & s s 1 e 1 K Z m 5 T 6 5 5 W V 5 D V 5 viewtopic.php?t=18&start=90 1 |
|
|
4楼#
发布于:2005-04-05 12:38
我也去测试了,地址是:http://secunia.com/mozilla_products_arbitrary_memory_exposure_test/
但是结果是一对叉号,不知道是有问题还是没问题,如下图: |
|
|
5楼#
发布于:2005-04-05 12:38
你的lunix, 就算再大的漏洞也不见得有危险,何况是这个,呵呵
|
|
|
6楼#
发布于:2005-04-05 12:38
我用windowsxp测试了一下,图还是一样的,我用的ff是1。0。3的nightly 版本
|
|
|
7楼#
发布于:2005-04-05 12:38
基本上现在对ff的漏洞都可以不担心。
主要是ff用户太少了,恶意网站不会有兴趣辛苦搞一个东西针对极少数人的东西。 再一个ff补漏洞补的太快,恶意者还没搞清楚怎么利用漏洞,漏洞就已经不存在了。所以更没人愿意研究ff漏洞了。 |
|
8楼#
发布于:2005-04-05 12:38
我去Asa的Blog问了一下,他们说已经在1.0.3的最新候选版里修补了。
|
|
|
9楼#
发布于:2005-04-05 12:38
官方的1.02版这个漏洞现在还没有补上,linux系统也同样遭殃阿!不知道1.03官方版什么时候出来。
另外,前段时间一直用nightly版,上校友录、凤凰网之类的老是down,换了官方的版本就ok了。 |
|
|