吳明宜
Mozilla 基金會上週三針對 Firefox,Thunderbird 與 SeaMonkey 的安全弱點,發佈 5 項安全公告,卻有 1 項零時差攻擊的弱點未在修補之列。
3 項公告列出重大弱點,其中 2 個則涵括中度弱點。其中的弱點可被攻擊者用來執行任意程式碼。
US-CERT 建議 Firefox 用戶升級到 3.0.18,3.5.8 或 3.6 版。
Thunderbird 用戶應升級到 3.0.2 版,SeaMonkey 使用者則應升級到 2.0.3 版。
這些修補程式是否足以保護使用者還不清楚:俄羅斯安全研究人員宣稱已有攻擊程式碼可以影響 Firefox 3.6,且未被安全公告解決。
而 Intevydis 創始人 Evgeny Legerov 於 2 月初於線上貼文中指出,他在一個稱為 Vulndisco 的模組加入 Firefox 零時差攻擊程式,Vulndisco 是該公司的 Immunity Canvas 滲透測試系統。
「看過 Firefox 攻擊的人必然都會同意,這是很酷的瑕疵,找到並攻擊這個瑕疵,可真是個大挑戰,需要好一番工夫,但在我們測試中相當穩定。」
Mozillla 第一時間內並未對此做出回應。
上週 Mozilla 的 Jesse Ruderman 在安全部落格中指出,該公司在安全更新上相當嫻熟,且不會產生新的瑕疵,即所謂「回歸 (regression)」的問題。
Firefox 抓蟲專家於 2007 年 12 月到 2010 年 1 月間針對 176 個臭蟲進行分析,結果顯示,回歸錯誤的頻率有下降趨勢,Ruderman 說。
但 Firefox 的普及程度也使得安全疑慮超出程式碼的疑慮。 2 月初 Mozilla 擴充套件管理小組 AMO 表示已因為內含惡意程式而移除 Firefox 擴充套件。
Mozilla 發言人透過電子郵件表示,「Mozilla 對所有安全弱點皆嚴正以待,到目前為止無法證實外界宣稱之攻擊。此時,Secunia Advisory AS38608 是依據未經證實的通報而成。我們對所有安全研究員的貢獻相當珍惜,並鼓勵他們與我們合作以確保使用者最高等級的安全性和最佳效果。」