在黑客公布了漏洞細節(jié)后，Mozilla公司正在修補這一Firefox瀏覽器漏洞，該漏洞會讓犯罪者在受害者的機器上運行未授權軟件。

該漏洞存在于Firefox的URL處理器組件中，也是Mozilla周二發(fā)布的另一漏洞的來源。

第二個漏洞由分別來自于Verisign股份有限公司和企業(yè)合伙人Ernst & Young的安全顧問Billy Rios和 Nathan McFeters在周二發(fā)布。

來自nCircle Network Security 的安全研究工程師Tyler Reguly說，像第一個漏洞一樣，這個漏洞也能使黑客進入受害者電腦中不用授權啟動程序，它們兩者都涉及到URL處理程序，只是程序中不同的錯誤的區(qū)別。

Reguly還說到，即使由Rios 和 McFeters發(fā)布的代碼只能用來啟動受害者電腦中已經(jīng)安裝的程序，但如果被犯罪者利用仍然是非常危險的。它能讓你運行存在于受害者電腦中的任何程序，你可以用它來做相當壞的事情。比如，使用command-line FTP從某處的服務器下載惡意文件然后執(zhí)行此文件。

Reguly說受害者會被騙點擊惡意鏈接而導致攻擊發(fā)生。

Mozilla's的首席安全官Window Snyder表明她的團隊正在校驗與修補這一最新漏洞.

自從安全研究員Thor Larholm指出Internet Explorer (IE) 和 Firefox互動作用后可以不經(jīng)授權啟動用戶電腦里的軟件，F(xiàn)irefox的URL處理器就成為了Mozilla的一個頭疼問題。攻擊過程是IE從一個網(wǎng)站下載畸形數(shù)據(jù)，然后發(fā)送給能夠不用授權啟動軟件的Firefox。

微軟和Mozilla在誰存在過失的問題上態(tài)度不一致。最初Snyder說攻擊不會只在Firefox上單獨發(fā)生，微軟應改變IE向其他程序傳送數(shù)據(jù)的方式。微軟則表示問題出在Firefox上面。

在周二公布第一個URL處理器漏洞細節(jié)的同時，Snyder承認她錯了，“我們以前認為問題發(fā)生在IE上。原來，F(xiàn)irefox也有問題，”她說，“我們應該早就面對這一情況�！�

Mozilla計劃在即將發(fā)行的2.0.0.6瀏覽器中解決這個問題.Snyder沒有說明Billy Rios公布的漏洞何時出補丁。

標簽： 安全 代碼 服務器 計劃 漏洞 企業(yè) 網(wǎng)站 問題 用戶

版權申明：本站文章部分自網(wǎng)絡，如有侵權，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權歸原作者所有，如需使用，請與原作者聯(lián)系。