Mozilla再次修補Firefox漏洞

文章出處 http://www.ithome.com.tw/itadm/article.php?c=44603 Mozilla再次修補Firefox漏洞

文/陳曉莉 (編譯) 2007-08-01

這是Mozilla在今年7月第二次發表安全更新，主要更新的項目仍與先前揭露的IE─Firefox漏洞有關。

Mozilla在本周一（7/30）再次釋出Firefox 2.0.0.6，修補Firefox的3個漏洞。這是Mozilla在今年7月第二次發表安全更新，主要更新的項目仍與先前揭露的IE─Firefox漏洞有關。 此次Mozilla主要修補的是Firefox的URL通訊協定處理元件漏洞，當使用者連結到特定的網頁連結時，可透過該元件來啟動程式。該漏洞可讓駭客利用Firefox執行其他的應用程式。 安全研究人員Thor Larholm在今年7月揭露了一個IE漏洞，駭客可能藉由該漏洞啟動使用者電腦上安裝的Firefox，並在Firefox中執行任意程式。 當時Mozilla亦認為這是IE漏洞，並在官方部落格中說明，當使用者透過IE瀏覽惡意網站並點選惡意連結，就可能透過IE中的命令列啟動其他視窗應用程式，如果該惡意連結讓IE啟動的是Firefox，那麼駭客就能在遠端於Firefox中執行任意程式。 而微軟在經過調查後則回應說這並不是IE的漏洞。不同的研究人員對於這究竟是哪一方的漏洞爭論不休。 Mozilla在一周後釋出Firefox 2.0.0.5，強化輸入資料確認功能，以防堵當時聲稱受到IE影響的漏洞。 不過，Mozilla安全長Window Snyder上周在部落格中坦承這並不只是IE的錯，Firefox也應該要負相同的責任。 Window Snyder說明，他們的調查發現，不只是IE，Firefox也可被用來當作啟動其他應用程式的進入點，使用者透過Firefox瀏覽時，也可因為一個特定的連結而令Firefox將惡意資料傳到其他的應用程式。 雖然Mozilla表示Firefox擁有與IE同樣的漏洞，但美國電腦緊急應變小組（United States Computer Emergency Readiness Team，US-CERT）卻認為這源頭應該是微軟的視窗漏洞。 US-CERT指出，因為視窗無法適當處理在一通用資源識別碼（Uniform Resource Identifier，URI）的特定通訊協定，因此讓駭客得以在遠端執行任意命令。 URI為專門用來辨識位置、資源或通訊協定的字串，微軟視窗會分析一個URI來確定處理通訊協定的適當程式，US-CERT說明，IE 7改變了視窗分析URI的方式，這造成視窗在分析一個URI並找出適當程式時判斷錯誤，使得駭客可在遠端執行任意命令。（編譯/陳曉莉）