潛伏七年之久:Firefox瀏覽器漏洞浮出水面
6月7日消息,安全機構Secunia日前發出警告,最新版火狐瀏覽器(Firefox)存在一個能使攻擊者在其它網站內安置惡意程序的漏洞,而更讓人難以置信的是該漏洞已潛伏了七年之久。
該漏洞在軟體管理瀏覽器進行網頁內容的分頁瀏覽時出現,因為該應用軟體沒有相應的檢查功能,不能確保所有分頁瀏覽的頁面均來自同一個網站。 Secunia週一(6月6日)發出的警告稱,Firefox 1.x、Mozilla 1.7.x和 Camino 0.x等版本瀏覽器可能存在漏洞隱患。
Secunia表示,攻擊者可通過該瀏覽器漏洞在一個備受人們信任的網站中植入惡意內容,再比如,在線銀行用戶在登錄銀行的一個網頁時可能會受到欺騙而泄漏個人敏感信息或下載惡意代碼。Secunia對該漏洞的評級是「輕度危險」。
去年七月份,Secunia就曾發現Mozilla瀏覽器存在的類似的「頁面植入」漏洞,並就此做了詳細的介紹,但新版本的火狐瀏覽器並不在受漏洞影響之列。
Secunia表示,攻擊者實施釣魚攻擊的前提是網民必須同時在不同窗口打開攻擊者建立的網站和值得依賴的正常網站,點擊惡意網站上的一個圖標可能造成其惡意內容在正常網站上進行顯示。該安全機構建議用戶不要同時瀏覽備受依賴的網站和來路不明的網站。
Mozilla基金會的一位代表稱,將就Secunia提供的安全報告展開調查。
Mozilla基金會在網站論壇上發布消息稱,目前還沒有發現該漏洞被用來實施攻擊的事件發生。
為了安全起見,Mozilla論壇建議用戶在登錄在線銀行等需要輸入個人敏感信息的網站時最好關閉了所有其它的瀏覽窗口及工具條。
火狐瀏覽器自去年秋天首次發布以來顯示出了強勁的生命力,並廣泛蓄積力量準備改寫多年來一直由微軟IE獨霸瀏覽器市場的局面。IE瀏覽器所佔的市場份額已受到了火狐的衝擊而略有下降,這在多年來還屬首次。