謝至恩US-CERT週二警告新款Firefox 3.5瀏覽器中藏有相當危險的重大漏洞,讓駭客可從遠端在使用者電腦上執行惡意程式。
Firefox 3.5 遭揭露有重大漏洞,Mozilla 基金會表示正在動手修補中。
US-CERT 週二警告新款 Firefox 3.5 瀏覽器中藏有相當危險的重大漏洞,讓駭客可從遠端在使用者電腦上執行惡意程式。
本週一已經有人在 Milw0rm.com 貼出驗證可行的攻擊程式碼,相信很快會有人將根據此漏洞開發出真正的惡意攻擊程式。
該漏洞由 Simon Berry-Byrne 所發現,主要是發生在 Firefox 3.5 處理 Javascipt 碼時的程序。
Mozilla 表示已經開始動手修補,並正在測試修補程式,「若駭客引誘使用者去瀏覽藏有惡意攻擊碼的網頁,透過此漏洞便可感染使用者的電腦。使用者可以先關閉 Firefox 3.5 JavaScripot 引擎的 JIT 以降低受到感染的機會。」
請根據以下步驟關閉 JIT:
- 在瀏覽器網址列中鍵入「
about:config」 - 輸入「jit」找出相關的設定選項
- 在「
javascript.options.jit.content」點兩下,將設定值改為 false - 重新啟動 Firefox 3.5 瀏覽器
已經安裝 NoScript 外掛的使用者,也可以設定阻擋所有的 JavaScript 以保護瀏覽器,不過許多主流網站大概也無法正常使用。
位於丹麥的資訊安全公司 Secunia 將此漏洞評等為「高風險」,並警告舊版 Firefox 瀏覽器可能也會受到影響。
而位於芬蘭的 F-Secure 則在部落格中表示該公司的 Exploit Shield 安全軟體已可成功阻擋該漏洞。