2008年3月31日消息，據(jù)國(guó)外媒體報(bào)道，Mozilla基金會(huì)在上周二對(duì)它的開(kāi)放源瀏覽器Firefox升級(jí)到2.0.0.13版本時(shí)，修補(bǔ)了瀏覽器中的十處漏洞，其中有半數(shù)的漏洞標(biāo)記為“危急”。雖然有與Firefox相同的五個(gè)漏洞，但是新分離出來(lái)的Mozilla Messaging暫時(shí)還不能為它的Thunderbird電子郵件用戶提供對(duì)應(yīng)的升級(jí)來(lái)進(jìn)行修補(bǔ)。

Mozilla的六個(gè)報(bào)告列出了5個(gè)Firefox中標(biāo)為“危急”的漏洞，三個(gè)“高”，一個(gè)“中”，一個(gè)“低”。

在這些危急性漏洞里，兩個(gè)就可以使瀏覽器或JavaScript引擎崩潰，或者更多的事故。“部分的這些事故是在某些情況下記憶缺陷的證據(jù)，我們認(rèn)為，在足夠努力的情況下至少部分這些可以被利用來(lái)運(yùn)行任意代碼。”Mozilla在報(bào)告2008-15中寫(xiě)道。

Mozilla也在2.0.0.13版本中修補(bǔ)了潛在身份泄漏、誘騙和跨站點(diǎn)腳本漏洞。針對(duì)LiveConnect導(dǎo)致風(fēng)暴眼的漏洞的修補(bǔ)的具體細(xì)節(jié)見(jiàn)2008-18。

“Sun公司已經(jīng)升級(jí)了Java Runtime Environment來(lái)修補(bǔ)這一問(wèn)題，Mozilla也同樣增加了一個(gè)針對(duì)LiveConnect的補(bǔ)丁來(lái)保護(hù)還沒(méi)有使用最新Java版本的用戶�！盡ozilla表示。

這10個(gè)漏洞都是由SeaMonkey項(xiàng)目修補(bǔ)的，后者是一個(gè)獨(dú)立的開(kāi)放源部門，主要開(kāi)發(fā)多功能瀏覽器套件。

同時(shí)，Thunderbird電子郵件用戶也遭受著2008-14和2008-15 報(bào)告中列出的5個(gè)危急漏洞的影響�！癟hunderbird與Firefox共享一個(gè)瀏覽器引擎，所以如果JavaScript想涉及郵件的話也是有可能的，”兩個(gè)通報(bào)中的第一個(gè)中寫(xiě)道。“這不是默認(rèn)設(shè)置，我們強(qiáng)烈勸阻用戶運(yùn)行郵件中的JavaScript。”

修復(fù)這些漏洞的Thunderbird 2.0.0.13版本的發(fā)布時(shí)間尚未確定。據(jù)Mozilla Messaging的負(fù)責(zé)人David Ascher的意見(jiàn)，電子郵件的升級(jí)將在Firefox升級(jí)幾星期之后進(jìn)行。

在上周的一篇博客中，Ascher列舉了幾條為什么不可能同時(shí)推出Thunderbird和Firefox升級(jí)的原因。“部分原因是因?yàn)門hunderbird升級(jí)過(guò)程的推出還沒(méi)足夠自動(dòng)化，另外部分原因是因?yàn)闆](méi)有足夠已具備合適訓(xùn)練的人�！�

Ascher表示，JavaScript在Firefox中是默認(rèn)自動(dòng)打開(kāi)，但在 Thunderbird中沒(méi)有。“如果為了減輕某些人利用從Firefox升級(jí)中得到的信息來(lái)試圖攻擊Thunderbird用戶的風(fēng)險(xiǎn)的話，我們可以延遲Firefox升級(jí)的發(fā)布，直到Thunderbird已做好準(zhǔn)備，但這將意味著我們讓超過(guò)150萬(wàn)用戶處于危險(xiǎn)狀態(tài)。所以我們盡可能早地推出 Firefox的安全升級(jí)，再隨后盡可能早地推出Thunderbird的安全升級(jí)�！�

標(biāo)簽： 安全 代碼 電子郵件 腳本 漏洞 媒體

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。