Firefox浏览器漏洞浮出水面　潜伏期已有七年之久(转自瑞星)

原文链接
http://it.rising.com.cn/newSite/Channel ... _news/corp

6月7日消息，安全专家日前发出警告，最新版火狐浏览器(Firefox)存在一个能使攻击者在其它网站内安置恶意程序的漏洞，而更让人难以置信的是该漏洞已潜伏了七年之久。

　　该漏洞在软件管理浏览器进行网页内容的分页浏览时出现，因为该应用软件没有相应的检查功能，不能确保所有分页浏览的页面均来自同一个网站。这位专家在周一(6月6日)发出的警告称，Firefox 1.x、Mozilla 1.7.x和 Camino 0.x等版本浏览器可能存在漏洞隐患。

　　安全专家表示，攻击者可通过该浏览器漏洞在一个备受人们信任的网站中植入恶意内容，再比如，在线银行用户在登录银行的一个网页时可能会受到欺骗而泄漏个人敏感信息或下载恶意代码。安全专家对该漏洞的评级是“轻度危险”。

　　去年七月份，该安全专家就曾发现Mozilla浏览器存在的类似的“页面植入”漏洞，并就此做了详细的介绍，但新版本的火狐浏览器并不在受漏洞影响之列。

　　安全专家表示，攻击者实施钓鱼攻击的前提是网民必须同时在不同窗口打开攻击者建立的网站和值得依赖的正常网站，点击恶意网站上的一个图标可能造成其恶意内容在正常网站上进行显示。该安全机构建议用户不要同时浏览备受依赖的网站和来路不明的网站。

　　Mozilla基金会的一位代表称，将就该安全专家提供的安全报告展开调查。

　　Mozilla基金会在网站论坛上发布消息称，目前还没有发现该漏洞被用来实施攻击的事件发生。

　　为了安全起见，Mozilla论坛建议用户在登录在线银行等需要输入个人敏感信息的网站时最好关闭了所有其它的浏览窗口及工具条。

　　火狐浏览器自去年秋天首次发布以来显示出了强劲的生命力，并广泛蓄积力量准备改写多年来一直由微软IE独霸浏览器市场的局面。IE浏览器所占的市场份额已受到了火狐的冲击而略有下降，这在多年来还属首次。

无法找到网页
您正在搜索的网页可能已经删除、更名或暂时不可用。

请尝试下列操作：

    * 如果您在“地址”栏中键入了网页地址，请检查其拼写是否正确。
    * 打开 it.rising.com.cn 主页，寻找指向所需信息的链接。
    * 单击后退按钮尝试其他链接。

HTTP 404 - 无法找到文件
Internet 信息服务

技术信息（支持个人）

    * 详细信息：
      Microsoft 支持

无法找到网页
您正在搜索的网页可能已经删除、更名或暂时不可用。

请尝试下列操作：

    * 如果您在“地址”栏中键入了网页地址，请检查其拼写是否正确。
    * 打开 it.rising.com.cn 主页，寻找指向所需信息的链接。
    * 单击后退按钮尝试其他链接。

HTTP 404 - 无法找到文件
Internet 信息服务

技术信息（支持个人）

    * 详细信息：
      Microsoft 支持

七年？
七年前用什么浏览？更别说fx了，这个会不会有问题阿！

瑞星的东西在我眼中可信度为0。
呵呵，夸张了一点。。。。。

hoho，转自瑞星？

为什么不把文章转到3721，然后再转回来，这样可以写“转自’3721“这么骠悍的标题来吸引眼球哦~

国内杀毒软件全部是渣。

以前曾经发现瑞星翻译 Mozilla 的安全报告来填充网站

为什么瑞星只是说“安全专家”而不说是“Secunia”发现的漏洞呢？

新华网的新闻比较忠实
http://news.xinhuanet.com/it/2005-06/07 ... 053002.htm

google到了英文Secunia原文
http://secunia.com/advisories/15601/

汗一个，7年前的这个时候，Mozilla.org刚成立4个月,mozilla基金会还没成立. 这应该是另一个Netscape时代的老问题？
等Mozilla.org的答复吧。

国内的网上银行都是只支持ie的,fx的这个bug对我们好像没什么影响

据说如果把Firefox伪装成IE就可以在网上使用招商银行。

http://blog.cathayan.org/item/969

寒...怀疑瑞星疯狂诋毁FF是为了让人用它们的软件+不装FF就更需要它们的软件了

还是 McAfee 好。

这个漏洞可能从netscape时代就有了吧