據(jù)國(guó)外媒體報(bào)道, Mozilla基金會(huì)在上周二對(duì)它的開(kāi)放源瀏覽器Firefox升級(jí)到2.0.0.13版本時(shí),修補(bǔ)了瀏覽器中的十處漏洞,其中有半數(shù)的漏洞標(biāo)記為“危 急”.雖然有與Firefox相同的五個(gè)漏洞,但是新分離出來(lái)的Mozilla Messaging暫時(shí)還不能為它的Thunderbird電子郵件用戶提供對(duì)應(yīng)的升級(jí)來(lái)進(jìn)行修補(bǔ).Mozilla的六個(gè)報(bào)告列出了5個(gè)Firefox中標(biāo)為“危急”的漏洞,三個(gè)“高”,一個(gè)“中”,一個(gè)“低”. 

在這些危急性漏洞里,兩個(gè)就可以使瀏覽器或JavaScript引擎崩潰,或者更多的事故.“部分的這些事故是在某些情況下記憶缺陷的證據(jù),我們認(rèn)為,在足夠努力的情況下至少部分這些可以被利用來(lái)運(yùn)行任意代碼.”Mozilla在報(bào)告2008-15中寫(xiě)道. 

Mozilla也在2.0.0.13版本中修補(bǔ)了潛在身份泄漏、誘騙和跨站點(diǎn)腳本漏洞.針對(duì)LiveConnect導(dǎo)致風(fēng)暴眼的漏洞的修補(bǔ)的具體細(xì)節(jié)見(jiàn)2008-18. 

“Sun公司已經(jīng)升級(jí)了Java Runtime Environment來(lái)修補(bǔ)這一問(wèn)題,Mozilla也同樣增加了一個(gè)針對(duì)LiveConnect的補(bǔ)丁來(lái)保護(hù)還沒(méi)有使用最新Java版本的用戶.”Mozilla表示. 

這10個(gè)漏洞都是由SeaMonkey項(xiàng)目修補(bǔ)的,后者是一個(gè)獨(dú)立的開(kāi)放源部門(mén),主要開(kāi)發(fā)多功能瀏覽器套件. 

同時(shí),Thunderbird電子郵件用戶也遭受著2008-14和2008-15 報(bào)告中列出的5個(gè)危急漏洞的影響.“Thunderbird與Firefox共享一個(gè)瀏覽器引擎,所以如果JavaScript想涉及郵件的話也是有可能的,”兩個(gè)通報(bào)中的第一個(gè)中寫(xiě)道.“這不是默認(rèn)設(shè)置,我們強(qiáng)烈勸阻用戶運(yùn)行郵件中的JavaScript.” 

修復(fù)這些漏洞的Thunderbird 2.0.0.13版本的發(fā)布時(shí)間尚未確定.據(jù)Mozilla Messaging的負(fù)責(zé)人David Ascher的意見(jiàn),電子郵件的升級(jí)將在Firefox升級(jí)幾星期之后進(jìn)行. 

在上周的一篇博客中,Ascher列舉了幾條為什么不可能同時(shí)推出Thunderbird和Firefox升級(jí)的原因.“部分原因是因?yàn)門(mén)hunderbird升級(jí)過(guò)程的推出還沒(méi)足夠自動(dòng)化,另外部分原因是因?yàn)闆](méi)有足夠已具備合適訓(xùn)練的人.” 

Ascher表示,JavaScript在Firefox中是默認(rèn)自動(dòng)打開(kāi),但在 Thunderbird中沒(méi)有.“如果為了減輕某些人利用從Firefox升級(jí)中得到的信息來(lái)試圖攻擊Thunderbird用戶的風(fēng)險(xiǎn)的話,我們可以延遲Firefox升級(jí)的發(fā)布,直到Thunderbird已做好準(zhǔn)備,但這將意味著我們讓超過(guò)150萬(wàn)用戶處于危險(xiǎn)狀態(tài).所以我們盡可能早地推出 Firefox的安全升級(jí),再隨后盡可能早地推出Thunderbird的安全升級(jí).”

標(biāo)簽： 安全 代碼 電子郵件 腳本 漏洞 媒體

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。