一個安全公司上周宣布在開源瀏覽器Mozilla Firefox中發(fā)現(xiàn)兩個漏洞，其中一個漏洞可能使Firefox瀏覽器用戶被盜取本地計算機上的文件。

這兩個漏洞都是由Beyond Security公司下屬的Securiteam發(fā)現(xiàn)的。第一個漏洞于周一公開，該漏洞存在于Firefox的廣告過濾功能，根據(jù)Securiteam所發(fā)布的安全公告，F(xiàn)irefox正常情況下是不允許被訪問網(wǎng)站訪問本地計算機文件的，但是由于其URL權限檢查在用戶手動關閉彈出廣告過濾功能時也會失效，因此，惡意攻擊者可以利用這個漏洞去盜取用戶本地計算機存儲的文件和個人信息。

針對這個漏洞的攻擊流程如下：惡意攻擊者偽造一個包含該漏洞利用代碼的頁面，并將該頁面的地址發(fā)送給用戶，當用戶點擊此連接時，F(xiàn)irefox會彈出一個詢問用戶是否允許下載文件或播放視頻的彈出窗口的提示，如果用戶允許了該彈出窗口，惡意攻擊者偽造的頁面將獲得訪問用戶本地計算機文件的權限。
從測試結果看，該漏洞只存在于低于版本2.0的Firefox中，但是在Securiteam的安全公告中沒有提到這一點。

周三Securiteam公布的第二個Firefox漏洞存在于Firefox的反釣魚保護功能中，惡意攻擊者偽造的釣魚網(wǎng)站只需要在頁面上加入特定的字符即可使Firefox認為它是安全的正常網(wǎng)站，這個漏洞在最新的2.0.0.1版本的Firefox中依然存在。
目前Mozilla還沒有對此安全公告提到的兩個Firefox漏洞進行確認。

標簽： 安全 代碼 漏洞 權限 網(wǎng)站 用戶

版權申明：本站文章部分自網(wǎng)絡，如有侵權，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權歸原作者所有，如需使用，請與原作者聯(lián)系。