| Mozilla计划下星期发布补丁,修复火狐浏览器的一个长期没有修复的安全漏洞。攻击者利用这个安全漏洞能够实施跨站脚本攻击(XSS)。 Mozilla副总裁迈克-斯雷普弗(Mike Schroepfer)称,火狐浏览器2.0.0.10版更新目前正在测试之中,目前公司正在测试确保本次软件升级的效果。该升级补丁将在感恩节后发布。 Mozilla呼吁Firefox团体在本周五(11月23日)质量保证“测试日”期间测试这个浏览器软件。 这个安全漏洞是在今年2月由Jesse Ruderman首先报告的,但令人疑惑的是,这个安全漏洞直到本月初才引起广泛的关注。安全研究人员Petko Petkov本月初在自己的博客中指出,利用这个安全漏洞能够对火狐浏览器实施跨站脚本攻击。 这个安全漏洞是由于火狐浏览器不能恰当处理采用.jar(Java文档)格式压缩的文件引起的,攻击者能够把恶意代码放入Jar压缩的文件中,受害者很难发现自己已经被攻击。 在Petkov公布他的研究结果几天之后,一位网名为“Bedford”的研究人员演示了如何利用这个安全漏洞对google用户实施攻击,让攻击者访问Gmail账户、google搜索和google网站存储的其它敏感数据。 IT专家网专家表示,这意味着攻击者能够进入google网站的任何地方,这对google巨大的使用人群来说,无疑是巨大的威胁。 虽然Petkov和Bedford发现的安全漏洞都与火狐浏览器处理.jar文件的安全漏洞有关,但Mozilla认为他们发现的是两个不同的安全漏洞。下个星期发布的火狐2.0.0.10版将修复这些安全漏洞。 |
