7月12日消息，把IE和火狐瀏覽器安裝到一個系統(tǒng)上使用可引起零日攻擊的危險。研究人員對于這個問題應(yīng)該由微軟負(fù)責(zé)還是由Mozilla負(fù)責(zé)意見不一。

據(jù)itnews.com.au網(wǎng)站報道，Mozilla正在研制補丁，修復(fù)影響到火狐瀏覽器和微軟IE瀏覽器的一個非常嚴(yán)重的安全漏洞。

在網(wǎng)絡(luò)上對于這個問題應(yīng)該由微軟負(fù)責(zé)還是由Mozilla負(fù)責(zé)還存在分歧的同時，Mozilla負(fù)責(zé)安全的官員Window Snyder表示，他們將認(rèn)真對待這個問題。她說，Mozilla相信縱深防御并且將在即將推出的火狐2.0.0.5版中修復(fù)這個漏洞以便緩解這個問題。但是，這并不能阻止IE向火狐發(fā)送惡意代碼。

安全研究人員Thor Larholm把這個安全漏洞稱作IE瀏覽器的輸入驗證安全漏洞。他說，這個安全漏洞與他早些時候在蘋果Safari第三測試版中發(fā)現(xiàn)的安全漏洞是一樣的。

他解釋說，當(dāng)安裝火狐瀏覽器的時候，它注冊一個URL協(xié)議控制器。當(dāng)IE瀏覽器遇到火狐URL方案中的內(nèi)容參考的時候，它就調(diào)用具有EXE圖像路徑的ShellExecute程序，并且沒有輸入任何驗證信息就把整個URL請求發(fā)送出去。

這就意味著如果有人使用IE訪問一個設(shè)法調(diào)用火狐URL的網(wǎng)頁，微軟瀏覽器將沒有任何提示啟動火狐瀏覽器并且把這個URL發(fā)送給火狐瀏覽器。Mozilla稱，這兩個瀏覽器都不審查這個URL。這將允許攻擊者讓火狐瀏覽器執(zhí)行惡意的JavaScript代碼。

微軟發(fā)言人稱，微軟全面調(diào)查了IE瀏覽器存在安全漏洞的說法，發(fā)現(xiàn)這并不是微軟產(chǎn)品中的漏洞。

Snyder稱，單獨使用火狐貍覽器不會引起這個問題。她說，重要的是需要指出，如果你使用火狐瀏覽器訪問一個網(wǎng)頁，你不會受到這種攻擊。

標(biāo)簽： 安全 代碼 漏洞 網(wǎng)絡(luò) 網(wǎng)站 問題

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。