黑客组织攻击Firefox浏览器 300万国内用户将遭殃(转自瑞星)

http://it.rising.com.cn/newSite/Channel ... 019333.htm

好明显的广告阿....

瑞星好像不能监视firefox吧~~~~~~~~~

网络安全公司警告称，日前在Firefox浏览器上发现了“极度危险”（extremely critica
l）等级的安全漏洞，而且黑客正开始利用该漏洞在互联网上进行大肆攻击。

     Firefox浏览器上两处漏洞会给黑客提供控制用户电脑系统的机会。黑客可以通过该漏洞创建一个恶意网页，然后骗取用户的信任，使用户安装一个授控的监视软件。一般情况下，Firefox浏览器对来自update.mozilla.org和addons.mozilla.org站点的软件默认为“安装”，但该恶意网页正是利用了漏洞，骗取用户“默认”安装了监视软件。

    另外一个漏洞可能会在系统导入IconURL参数时出现错误，导致用户在点击图标和trigger时打开含有恶意代码的脚本程序。

    安全专家称，针对漏洞的补丁很快就会出来，在此期间，用户可以通过更改JavaScript进行自我保护，另外，Mozilla基金会已经对自身网站采取了相应保护措施，使黑客不会对update.mozilla.org和addons.mozilla.org两个升级维护网站造成攻击，以免给用户带来新的麻烦。

(原文)http://www.fanghei.com/article/news/200505101045136640.htm

我看到上面写    “  然后通过电子邮件、QQ、MSN诱骗用户浏览  “这些好像是针对国内用户吧，还有IE吧！好像跟FF没什么关系。自己就是一个漏洞还说人家！

网络安全公司警告称，日前在Firefox浏览器上发现了“极度危险”（extremely critica
l）等级的安全漏洞，而且黑客正开始利用该漏洞在互联网上进行大肆攻击。

     Firefox浏览器上两处漏洞会给黑客提供控制用户电脑系统的机会。黑客可以通过该漏洞创建一个恶意网页，然后骗取用户的信任，使用户安装一个授控的监视软件。一般情况下，Firefox浏览器对来自update.mozilla.org和addons.mozilla.org站点的软件默认为“安装”，但该恶意网页正是利用了漏洞，骗取用户“默认”安装了监视软件....................

正解啊！

都是哗众取宠。

呵呵。我没有遭殃。

mozillazine上有关这个两个漏洞的详尽解释：

http://mozillazine.org/talkback.html?article=6590

我看了看这个解释，大意是：

第一个漏洞，

危险性较小。会导致敏感数据被盗而且会使第二个漏洞更容易使用。

恶意站点可以使用帧和JavaScript脚本向其他站点中插入任意的JavaScript脚本代码。

恶意站点可以利用这个来窃取如同cookie的数据，或者执行某些操作，例如不需要白名单的允许就可以启动软件(扩展)安装窗口（注意：还是要用户点确定才能完成扩展的安装）。

影响： Mozilla Firefox 和 Mozilla Application Suite。

预防办法：禁用JavaScript。

第二个漏洞，

危险性较大。

调用了软件(扩展)安装窗口，软件安装窗口就是安装扩展时带3秒倒计时的那个窗口。

Mozilla Firefox中这个窗口包含了一个图标，其URL是网站上的一个图片文件。
由于缺乏足够的检查，图标的URL竟然可以是一段JavaScript代码。这段代码就可以悄悄的运行。由于代码在软件安装对话框中运行，所以权限很高，可以通过漏洞安装扩展或者删除文件。

影响：只有Mozilla Firefox

预防办法：禁止安装软件（选项->网站特性->取消‘允许网站安装软件’），或者清空安装扩展的白名单。

PS：从下文的回帖得知5月9日的nightly版中已经修复了这两个漏洞！！

另外语不佳，水平有限，请见谅。

不过我有点好奇的是他是怎么统计(估算)出，国内有300万用户的？

puhongyi：不过我有点好奇的是他是怎么统计(估算)出，国内有300万用户的？回到原帖

估计是随手写了一个数字。

看标题是很吸引眼球啊！


觉得奇怪的还有， 黑客组织攻击Firefox浏览器。吹得太厉害了

漏洞的发现者也是非常友善的。

300万将遭殃，不是还没遭殃么？预言谁都能吹牛的。。。

确实是有点太夸张了~~~
 <!-- s8) --><img src="{SMILIES_PATH}/icon_cool.gif" alt="8)" title="Cool" /><!-- s8) -->

现在有人中招了吗