吳明宜2010-02-221min0

Mozilla公佈Firefox修補程式但仍有瑕疵

Mozilla基金會上週三針對Firefox,Thunderbird與SeaMonkey的安全弱點,發佈5項安全公告,卻有1項零時差攻擊的弱點未在修補之列。

mozilla logo

Mozilla基金會上週三針對Firefox,Thunderbird與SeaMonkey的安全弱點,發佈5項安全公告,卻有1項零時差攻擊的弱點未在修補之列。

3項公告列出重大弱點,其中2個則涵括中度弱點。其中的弱點可被攻擊者用來執行任意程式碼。

US-CERT建議Firefox用戶升級到3.0.18,3.5.8或3.6版。

Thunderbird用戶應升級到3.0.2版,SeaMonkey使用者則應升級到2.0.3版。

這些修補程式是否足以保護使用者還不清楚:俄羅斯安全研究人員宣稱已有攻擊程式碼可以影響Firefox 3.6,且未被安全公告解決。

而Intevydis創始人Evgeny Legerov於2月初於線上貼文中指出,他在一個稱為Vulndisco的模組加入Firefox零時差攻擊程式,Vulndisco是該公司的Immunity Canvas滲透測試系統。

「看過Firefox攻擊的人必然都會同意,這是很酷的瑕疵,找到並攻擊這個瑕疵,可真是個大挑戰,需要好一番工夫,但在我們測試中相當穩定。」

Mozillla第一時間內並未對此做出回應。

上週Mozilla 的Jesse Ruderman在安全部落格中指出,該公司在安全更新上相當嫻熟,且不會產生新的瑕疵,即所謂「回歸(regression)」的問題。

Firefox抓蟲專家於2007年12月到2010年1月間針對176個臭蟲進行分析,結果顯示,回歸錯誤的頻率有下降趨勢,Ruderman說。

但Firefox的普及程度也使得安全疑慮超出程式碼的疑慮。2月初Mozilla擴充套件管理小組AMO表示已因為內含惡意程式而移除Firefox擴充套件。

Mozilla發言人透過電子郵件表示,「Mozilla對所有安全弱點皆嚴正以待,到目前為止無法證實外界宣稱之攻擊。此時,Secunia Advisory AS38608是依據未經證實的通報而成。我們對所有安全研究員的貢獻相當珍惜,並鼓勵他們與我們合作以確保使用者最高等級的安全性和最佳效果。」

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2021 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416