據(jù)國外媒體報道, Mozilla基金會在上周二對它的開放源瀏覽器Firefox升級到2.0.0.13版本時,修補了瀏覽器中的十處漏洞,其中有半數(shù)的漏洞標(biāo)記為“危 急”.雖然有與Firefox相同的五個漏洞,但是新分離出來的Mozilla Messaging暫時還不能為它的Thunderbird電子郵件用戶提供對應(yīng)的升級來進(jìn)行修補.Mozilla的六個報告列出了5個Firefox中標(biāo)為“危急”的漏洞,三個“高”,一個“中”,一個“低”. 

在這些危急性漏洞里,兩個就可以使瀏覽器或JavaScript引擎崩潰,或者更多的事故.“部分的這些事故是在某些情況下記憶缺陷的證據(jù),我們認(rèn)為,在足夠努力的情況下至少部分這些可以被利用來運行任意代碼.”Mozilla在報告2008-15中寫道. 

Mozilla也在2.0.0.13版本中修補了潛在身份泄漏、誘騙和跨站點腳本漏洞.針對LiveConnect導(dǎo)致風(fēng)暴眼的漏洞的修補的具體細(xì)節(jié)見2008-18. 

“Sun公司已經(jīng)升級了Java Runtime Environment來修補這一問題,Mozilla也同樣增加了一個針對LiveConnect的補丁來保護(hù)還沒有使用最新Java版本的用戶.”Mozilla表示. 

這10個漏洞都是由SeaMonkey項目修補的,后者是一個獨立的開放源部門,主要開發(fā)多功能瀏覽器套件. 

同時,Thunderbird電子郵件用戶也遭受著2008-14和2008-15 報告中列出的5個危急漏洞的影響.“Thunderbird與Firefox共享一個瀏覽器引擎,所以如果JavaScript想涉及郵件的話也是有可能的,”兩個通報中的第一個中寫道.“這不是默認(rèn)設(shè)置,我們強(qiáng)烈勸阻用戶運行郵件中的JavaScript.” 

修復(fù)這些漏洞的Thunderbird 2.0.0.13版本的發(fā)布時間尚未確定.據(jù)Mozilla Messaging的負(fù)責(zé)人David Ascher的意見,電子郵件的升級將在Firefox升級幾星期之后進(jìn)行. 

在上周的一篇博客中,Ascher列舉了幾條為什么不可能同時推出Thunderbird和Firefox升級的原因.“部分原因是因為Thunderbird升級過程的推出還沒足夠自動化,另外部分原因是因為沒有足夠已具備合適訓(xùn)練的人.” 

Ascher表示,JavaScript在Firefox中是默認(rèn)自動打開,但在 Thunderbird中沒有.“如果為了減輕某些人利用從Firefox升級中得到的信息來試圖攻擊Thunderbird用戶的風(fēng)險的話,我們可以延遲Firefox升級的發(fā)布,直到Thunderbird已做好準(zhǔn)備,但這將意味著我們讓超過150萬用戶處于危險狀態(tài).所以我們盡可能早地推出 Firefox的安全升級,再隨后盡可能早地推出Thunderbird的安全升級.”

標(biāo)簽： 安全 代碼 電子郵件 腳本 漏洞 媒體

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。