在黑客公布了漏洞細(xì)節(jié)后，Mozilla公司正在修補(bǔ)這一Firefox瀏覽器漏洞，該漏洞會(huì)讓犯罪者在受害者的機(jī)器上運(yùn)行未授權(quán)軟件。

該漏洞存在于Firefox的URL處理器組件中，也是Mozilla周二發(fā)布的另一漏洞的來源。

第二個(gè)漏洞由分別來自于Verisign股份有限公司和企業(yè)合伙人Ernst & Young的安全顧問Billy Rios和 Nathan McFeters在周二發(fā)布。

來自nCircle Network Security 的安全研究工程師Tyler Reguly說，像第一個(gè)漏洞一樣，這個(gè)漏洞也能使黑客進(jìn)入受害者電腦中不用授權(quán)啟動(dòng)程序，它們兩者都涉及到URL處理程序，只是程序中不同的錯(cuò)誤的區(qū)別。

Reguly還說到，即使由Rios 和 McFeters發(fā)布的代碼只能用來啟動(dòng)受害者電腦中已經(jīng)安裝的程序，但如果被犯罪者利用仍然是非常危險(xiǎn)的。它能讓你運(yùn)行存在于受害者電腦中的任何程序，你可以用它來做相當(dāng)壞的事情。比如，使用command-line FTP從某處的服務(wù)器下載惡意文件然后執(zhí)行此文件。

Reguly說受害者會(huì)被騙點(diǎn)擊惡意鏈接而導(dǎo)致攻擊發(fā)生。

Mozilla's的首席安全官Window Snyder表明她的團(tuán)隊(duì)正在校驗(yàn)與修補(bǔ)這一最新漏洞.

自從安全研究員Thor Larholm指出Internet Explorer (IE) 和 Firefox互動(dòng)作用后可以不經(jīng)授權(quán)啟動(dòng)用戶電腦里的軟件，F(xiàn)irefox的URL處理器就成為了Mozilla的一個(gè)頭疼問題。攻擊過程是IE從一個(gè)網(wǎng)站下載畸形數(shù)據(jù)，然后發(fā)送給能夠不用授權(quán)啟動(dòng)軟件的Firefox。

微軟和Mozilla在誰存在過失的問題上態(tài)度不一致。最初Snyder說攻擊不會(huì)只在Firefox上單獨(dú)發(fā)生，微軟應(yīng)改變IE向其他程序傳送數(shù)據(jù)的方式。微軟則表示問題出在Firefox上面。

在周二公布第一個(gè)URL處理器漏洞細(xì)節(jié)的同時(shí)，Snyder承認(rèn)她錯(cuò)了，“我們以前認(rèn)為問題發(fā)生在IE上。原來，F(xiàn)irefox也有問題，”她說，“我們應(yīng)該早就面對(duì)這一情況�！�

Mozilla計(jì)劃在即將發(fā)行的2.0.0.6瀏覽器中解決這個(gè)問題.Snyder沒有說明Billy Rios公布的漏洞何時(shí)出補(bǔ)丁。

標(biāo)簽： 安全 代碼 服務(wù)器 計(jì)劃 漏洞 企業(yè) 網(wǎng)站 問題 用戶

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。