Firefox缺陷引發騷動 駭客突然改口撤回攻擊(轉)

Firefox缺陷引發騷動 駭客突然改口撤回攻擊(轉)[@more@]來源：CNET科技資訊網 zltjiangshi
日前宣稱已發現Firefox一項嚴重零時差漏洞的駭客突然改口，承認自己從未能利用該漏洞挾持電腦。

上週六（30日），Mischa Spiegelmock與Andrew Wbeelsoi在聖地亞哥舉行的ToorCon會議中表示，Firefox處理java script的方式有嚴重瑕疵，攻擊者只要製作內含惡意java script原始碼的網頁，就能挾持受害主機。他們也展示部分的攻擊程式。

但Spiegelmock決定撤回之前的說法。在發給Firefox開發協調單位Mozilla的宣告中，Spiegelmock說會中展示的攻擊程式無法完全損害使用該瀏覽器的電腦。

他的宣告公佈在Mozilla網站，當中寫道：“除了當機和佔據系統資源外，我從未成功地讓這組程式造成任何傷害，而我絕對沒有用它去挾持任何人的電腦，和執行強制程式程式碼。”

Spiegelmock表示：“我們釋出的主要目的是好玩，我向所有相關的人道歉，希望我已經儘可能地澄清每件事。”至於他們宣稱還知道30個尚未修補的Firefox漏洞，Spiegelmock完全推給另一位駭客Wbeelsoi：“我沒有未揭露的Firefox漏洞，和我一起發言的人這麼說，而我真的不知道他到底有沒有。”記者尚未聯絡到Wbeelsoi。

Mozilla安全負責人Window Snyder 3日表示，他們在ToorCon的發言引起Firefox開發社群騷動，大家利用整個週末調查這個問題。Mozilla的錯誤追蹤網站展示出若干證據。

她說：“此刻Mischa正與我們合作，我們很欣慰他決定加入我們，但我們很失望有這麼多人為此忙亂。這是一次昂貴的行動，有鑑於投入的資源，和許多犧牲週末家庭時間的人。”

Snyder說，根據Spiegelmock提供的資訊，這個問題仍可能是個嚴重瑕疵，但目前看來像是無害的當機她表示：“我們有一個潛在問題，但目前，基本上還是可靠度的問題。我們還無法證明原始碼執行。”

Spiegelmock在宣告中寫道，這次的釋出包括“一個之前已知的Firefox漏洞。”然而Snyder說，這兩個問題只是類似，但不一樣。

她說：“他們釋出的是潛在的漏洞。每次碰到當機你都需要完整地調查，以評估是否有任何安全上的影響。我們尚未排除所有選項，所以我們會繼續調查…Firefox使用者應該保持謹慎，且不要忽略任何事。”

另一位安全專家表示，這個問題只會造成Firefox當機。抓錯專家Tom Ferris表示：“他們釋出的只是一個記憶體不足當機錯誤，不是安全漏洞。顯然地，這兩個人只想嚇嚇媒體和ToorCon的與會者。”

Snyder不確定Mozilla是否會就此單獨釋出修補程式，或在未來的版本處理。她說：“現在還不確定，這還需要進一步調查。”