有两位安装研究人员表示,虽然Firefox早在7月就已经对协议处理的bug进行了两度修复,但它仍然容易被攻击。
这两位安全研究人员分别是Billy Rios和Nate McFeters,他们曾在8月中旬发现Windows的URI协议存在设计与功能上的隐患;他们表示已经发现另外的途径来利用Firefox发送恶意代码给用户。
Rios在其博客上表示,URI负载还是可以通过mailto、nntp、news和snews的URI来进行传递,并且可以不需用户的干预。他表示,虽然Firefox 2.0.0.5已经解决了允许远程命令执行的安全问题,但是问题核心的底层文件类型处理问题仍然没有得到解决。
目前还没有出现利用这个漏洞的攻击代码,而Mozilla还没对此事作出评论。
Firefox火狐浏览器下载 (2007-9-5 23:29:34)
Mozilla Firefox 2.0.0.7 RC1发布 校园版 下载 (2007-9-4 14:48:57)
新一代浏览器Firefox (2007-9-4 14:46:15)
Mozilla推出校园版Firefox:预装多个插件 (2007-9-4 14:43:32)
扩展三大功能!Firefox校园版发布 (2007-9-4 14:40:1)
轻松一招 巧移C盘Firefox配置文件 (2007-9-4 14:27:30)
支持Firefox 微软推HD View Beta2 (2007-9-4 14:25:32)
Firefox要推校园版 (2007-9-4 14:22:55)
FireFox也玩P2P网络电视 (2007-9-4 14:20:19)
30余个适用于Firefox的书签与搜索工具 (2007-9-4 14:18:24)
