北京時間8月8日訊息,據科技部落格ZDNet報導,Mozilla公司日前表示,由於在Firefox瀏覽器上發現一處嚴重級別安全漏洞,可能導致使用者敏感資訊外洩,為此敦促使用者立即升級至Firefox的最新版本。
本週早些時候,安全研究員科迪·克魯斯(Cody Crews)在使用Firefox瀏覽器登入一家俄羅斯新聞網站時,發現該網站一條惡意廣告利用了Firefox瀏覽器PDF閱讀器上的一處漏洞,將使用者本地檔案系統內的敏感檔案上傳至位於烏克蘭境內的伺服器上。克魯斯隨後將這一漏洞資訊通知了Mozilla。
Mozilla表示,最新的Firefox 39.0.3版本、及Firefox ESR 38.1.1擴充版本瀏覽器均修復了這一漏洞。此外,那些不含PDF閱讀器的Firefox瀏覽器版本,比如Android版Firefox瀏覽器等未受到該漏洞影響。
Mozilla安全主管丹尼爾(Daniel Veditz)表示,這一安全漏洞來自執行JavaScript上下文分離和FirefoxPDF閱讀器之間的互動機制,“該漏洞不執行任何程式碼,但利用該漏洞可以將JavaScript嵌入到本地檔案當中,從而使之可能搜尋並上傳本地敏感檔案。”
丹尼爾表示,Mac電腦使用者未受到該漏洞影響。但他同時警告稱,“該漏洞執行後在本地機器上不會留下任何痕跡。如果你在Windows或Linux電腦上使用了Firefox瀏覽器,應該審慎地修改任何的登入口令和密碼。”
上月,Firefox瀏覽器曾被曝出兩處UAF(use-after-free)安全漏洞,以及其他11處不同級別的重大安全漏洞,迫使Mozilla釋出了Firefox 39瀏覽器的更新版本。(編譯/若水)