IE不安全Mozilla不保險 駭客曝Firefox嚴重漏洞(轉)

IE不安全Mozilla不保險 駭客曝Firefox嚴重漏洞(轉)[@more@]CNET科技資訊網10月2日國際報導 兩名電腦駭客30日宣稱，開放原始碼Firefox瀏覽器處理java script的方式有一項嚴重漏洞。

Mischa Spiegelmock和Andrew Wbeelsoi在ToorCon駭客會議上表示，攻擊者只要製作一個內含若干惡意java script原始碼的網頁，便可透過Firefox控制遠端電腦。該漏洞影響Windows、蘋果Mac OS X和Linux各版的Firefox。

在部落格公司SixApart擔任正職的Spiegelmock表示：“大家都知道，IE不怎麼安全，但Firefox也非常不保險。”他詳細說明該漏洞，展示相關攻擊碼的各個重要部分。

問題主要出在Firefox執行java script指令語言的方式。Spiegelmock表示，尤其是有不同的程式編寫技巧能造成stack overflow錯誤。他說，Firefox的執行是“一團混亂…根本不可能修補”。

看過當天會場的錄影後，Mozilla安全主管Window Snyder承認，java script問題是個真正的弱點。她說：“他們所說的可能是一種舊型攻擊的變種，我們會進行一些調查。”

Snyder不樂見這麼明顯的威脅在會議上大肆曝光，她說：“看來他們擁有足夠的資訊讓攻擊者複製。我認為這是不幸的，因為使用者會陷入危險，而那似乎是他們的目的。”

另一方面，他們的說明或許也給Mozilla足夠的資訊修補該漏洞。然而，由於問題出在java script，解決方法可能比一般性的修補困難。

Snyder說：“如果問題出在java script虛擬器，就無法很快解決。”兩名駭客宣稱他們知道約30個Firefox漏洞，但不打算公佈。

參加該會議的Mozilla安全職員Jesse Ruderman，曾嘗試上臺說服兩名駭客以負責任的方式揭露安全漏洞，也就是透過Mozilla的抓錯獎金計劃，而非惡意地幫助疆屍網路的建立。

Ruderman說：“我真心希望你們改變主意，把漏洞通報我們然後領取500美元獎金，而不是用它們建立疆屍網路。”

兩名駭客對這種笑置之，Wbeelsoi說：“這是一把雙面刃，但我們所做的對整個網路有更大的好處，我們要為黑帽建立通訊網路。”