IE不安全Mozilla不保险 黑客曝Firefox严重漏洞

CNET科技资讯网10月2日国际报道 两名电脑黑客30日宣称，开放源代码Firefox浏览器处理JavaScript的方式有一项严重漏洞。

Mischa Spiegelmock和Andrew Wbeelsoi在ToorCon黑客会议上表示，攻击者只要制作一个内含若干恶意JavaScript源代码的网页，便可通过Firefox控制远端电脑。该漏洞影响Windows、苹果Mac OS X和Linux各版的Firefox。

在博客公司SixApart担任正职的Spiegelmock表示：“大家都知道，IE不怎么安全，但Firefox也非常不保险。”他详细说明该漏洞，展示相关攻击码的各个重要部分。

问题主要出在Firefox执行JavaScript指令语言的方式。Spiegelmock表示，尤其是有不同的程序编写技巧能造成stack overflow错误。他说，Firefox的执行是“一团混乱…根本不可能修补”。

看过当天会场的录影后，Mozilla安全主管Window Snyder承认，JavaScript问题是个真正的弱点。她说：“他们所说的可能是一种旧型攻击的变种，我们会进行一些调查。”

Snyder不乐见这么明显的威胁在会议上大肆曝光，她说：“看来他们拥有足够的信息让攻击者复制。我认为这是不幸的，因为使用者会陷入危险，而那似乎是他们的目的。”

另一方面，他们的说明或许也给Mozilla足够的信息修补该漏洞。然而，由于问题出在JavaScript，解决方法可能比一般性的修补困难。

Snyder说：“如果问题出在JavaScript虚拟器，就无法很快解决。”两名黑客宣称他们知道约30个Firefox漏洞，但不打算公布。

参加该会议的Mozilla安全职员Jesse Ruderman，曾尝试上台说服两名黑客以负责任的方式揭露安全漏洞，也就是通过Mozilla的抓错奖金计划，而非恶意地帮助疆尸网络的建立。

Ruderman说：“我真心希望你们改变主意，把漏洞通报我们然后领取500美元奖金，而不是用它们建立疆尸网络。”

两名黑客对这种笑置之，Wbeelsoi说：“这是一把双面刃，但我们所做的对整个网络有更大的好处，我们要为黑帽建立通讯网络。”