科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道IE不安全Mozilla不保险 黑客曝Firefox严重漏洞

IE不安全Mozilla不保险 黑客曝Firefox严重漏洞

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

两名电脑黑客30日宣称,开放源代码Firefox浏览器处理JavaScript的方式有一项严重漏洞。

作者:CNET科技资讯网 2007年8月23日

关键字:

  • 评论
  • 分享微博
  • 分享邮件

CNET科技资讯网10月2日国际报道 两名电脑黑客30日宣称,开放源代码Firefox浏览器处理JavaScript的方式有一项严重漏洞。

Mischa Spiegelmock和Andrew Wbeelsoi在ToorCon黑客会议上表示,攻击者只要制作一个内含若干恶意JavaScript源代码的网页,便可通过Firefox控制远端电脑。该漏洞影响Windows、苹果Mac OS X和Linux各版的Firefox。

在博客公司SixApart担任正职的Spiegelmock表示:“大家都知道,IE不怎么安全,但Firefox也非常不保险。”他详细说明该漏洞,展示相关攻击码的各个重要部分。

问题主要出在Firefox执行JavaScript指令语言的方式。Spiegelmock表示,尤其是有不同的程序编写技巧能造成stack overflow错误。他说,Firefox的执行是“一团混乱…根本不可能修补”。

看过当天会场的录影后,Mozilla安全主管Window Snyder承认,JavaScript问题是个真正的弱点。她说:“他们所说的可能是一种旧型攻击的变种,我们会进行一些调查。”

Snyder不乐见这么明显的威胁在会议上大肆曝光,她说:“看来他们拥有足够的信息让攻击者复制。我认为这是不幸的,因为使用者会陷入危险,而那似乎是他们的目的。”

另一方面,他们的说明或许也给Mozilla足够的信息修补该漏洞。然而,由于问题出在JavaScript,解决方法可能比一般性的修补困难。

Snyder说:“如果问题出在JavaScript虚拟器,就无法很快解决。”两名黑客宣称他们知道约30个Firefox漏洞,但不打算公布。

参加该会议的Mozilla安全职员Jesse Ruderman,曾尝试上台说服两名黑客以负责任的方式揭露安全漏洞,也就是通过Mozilla的抓错奖金计划,而非恶意地帮助疆尸网络的建立。

Ruderman说:“我真心希望你们改变主意,把漏洞通报我们然后领取500美元奖金,而不是用它们建立疆尸网络。”

两名黑客对这种笑置之,Wbeelsoi说:“这是一把双面刃,但我们所做的对整个网络有更大的好处,我们要为黑帽建立通讯网络。”

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章