2008年3月31日消息，據(jù)國外媒體報道，Mozilla基金會在上周二對它的開放源瀏覽器Firefox升級到2.0.0.13版本時，修補了瀏覽器中的十處漏洞，其中有半數(shù)的漏洞標記為“危急”。雖然有與Firefox相同的五個漏洞，但是新分離出來的Mozilla Messaging暫時還不能為它的Thunderbird電子郵件用戶提供對應的升級來進行修補。

Mozilla的六個報告列出了5個Firefox中標為“危急”的漏洞，三個“高”，一個“中”，一個“低”。

在這些危急性漏洞里，兩個就可以使瀏覽器或JavaScript引擎崩潰，或者更多的事故�！安糠值倪@些事故是在某些情況下記憶缺陷的證據(jù)，我們認為，在足夠努力的情況下至少部分這些可以被利用來運行任意代碼。”Mozilla在報告2008-15中寫道。

Mozilla也在2.0.0.13版本中修補了潛在身份泄漏、誘騙和跨站點腳本漏洞。針對LiveConnect導致風暴眼的漏洞的修補的具體細節(jié)見2008-18。

“Sun公司已經(jīng)升級了Java Runtime Environment來修補這一問題，Mozilla也同樣增加了一個針對LiveConnect的補丁來保護還沒有使用最新Java版本的用戶。”Mozilla表示。

這10個漏洞都是由SeaMonkey項目修補的，后者是一個獨立的開放源部門，主要開發(fā)多功能瀏覽器套件。

同時，Thunderbird電子郵件用戶也遭受著2008-14和2008-15 報告中列出的5個危急漏洞的影響�！癟hunderbird與Firefox共享一個瀏覽器引擎，所以如果JavaScript想涉及郵件的話也是有可能的，”兩個通報中的第一個中寫道�！斑@不是默認設置，我們強烈勸阻用戶運行郵件中的JavaScript。”

修復這些漏洞的Thunderbird 2.0.0.13版本的發(fā)布時間尚未確定。據(jù)Mozilla Messaging的負責人David Ascher的意見，電子郵件的升級將在Firefox升級幾星期之后進行。

在上周的一篇博客中，Ascher列舉了幾條為什么不可能同時推出Thunderbird和Firefox升級的原因。“部分原因是因為Thunderbird升級過程的推出還沒足夠自動化，另外部分原因是因為沒有足夠已具備合適訓練的人。”

Ascher表示，JavaScript在Firefox中是默認自動打開，但在 Thunderbird中沒有�！叭绻麨榱藴p輕某些人利用從Firefox升級中得到的信息來試圖攻擊Thunderbird用戶的風險的話，我們可以延遲Firefox升級的發(fā)布，直到Thunderbird已做好準備，但這將意味著我們讓超過150萬用戶處于危險狀態(tài)。所以我們盡可能早地推出 Firefox的安全升級，再隨后盡可能早地推出Thunderbird的安全升級�！�

標簽： 安全 代碼 電子郵件 腳本 漏洞 媒體

版權申明：本站文章部分自網(wǎng)絡，如有侵權，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權歸原作者所有，如需使用，請與原作者聯(lián)系。