[问题]Firefox开源浏览器发现两个漏洞

Web、Mail、Ftp、DNS、Proxy、VPN、Samba、LDAP 等基础网络服务
回复
xherman
帖子: 11
注册时间: 2007-02-06 23:09
送出感谢: 0
接收感谢: 0

[问题]Firefox开源浏览器发现两个漏洞

#1

帖子 xherman » 2007-02-13 2:42

一个安全公司上周宣布在开源浏览器Mozilla Firefox中发现两个漏洞,其中一个漏洞可能使Firefox浏览器用户被盗取本地计算机上的文件。
这两个漏洞都是由Beyond Security公司下属的Securiteam发现的。第一个漏洞于周一公开,该漏洞存在于Firefox的广告过滤功能,根据Securiteam所发布的安全公告,Firefox正常情况下是不允许被访问网站访问本地计算机文件的,但是由于其URL权限检查在用户手动关闭弹出广告过滤功能时也会失效,因此,恶意攻击者可以利用这个漏洞去盗取用户本地计算机存储的文件和个人信息。

针对这个漏洞的攻击流程如下:恶意攻击者伪造一个包含该漏洞利用代码的页面,并将该页面的地址发送给用户,当用户点击此连接时,Firefox会弹出一个询问用户是否允许下载文件或播放视频的弹出窗口的提示,如果用户允许了该弹出窗口,恶意攻击者伪造的页面将获得访问用户本地计算机文件的权限。

从测试结果看,该漏洞只存在于低于版本2.0的Firefox中,但是在Securiteam的安全公告中没有提到这一点。



周三Securiteam公布的第二个Firefox漏洞存在于Firefox的反钓鱼保护功能中,恶意攻击者伪造的钓鱼网站只需要在页面上加入特定的字符即可使Firefox认为它是安全的正常网站,这个漏洞在最新的2.0.0.1版本的Firefox中依然存在。

目前Mozilla还没有对此安全公告提到的两个Firefox漏洞进行确认。



这对ubuntu有影响么?
头像
ninesun
帖子: 167
注册时间: 2007-02-07 14:52
送出感谢: 0
接收感谢: 0

#2

帖子 ninesun » 2007-02-13 8:04

只存在于低于2.0的版本中,那就是说我们用的这个firefox1.5也有问题了哦,不知道怎么解决哦。
头像
eexpress
帖子: 58428
注册时间: 2005-08-14 21:55
来自: 长沙
送出感谢: 4 次
接收感谢: 256 次

#3

帖子 eexpress » 2007-02-13 8:41

影响有限。别用root就是手段。
● 鸣学
头像
xjflyttp
帖子: 281
注册时间: 2006-10-18 0:36
来自: Core
送出感谢: 0
接收感谢: 0
联系:

#4

帖子 xjflyttp » 2007-02-15 3:22

win32 的firefox也有这问题么````````
T60p/T7600/2G/WD1600BJKT/BT/AR5008/V5200/15' QXGA
头像
frank7258
帖子: 61
注册时间: 2007-01-31 23:01
来自: 慕尼黑
送出感谢: 0
接收感谢: 0
联系:

#5

帖子 frank7258 » 2007-02-15 14:01

Firefox不是以root身份运行的。
chpn
帖子: 415
注册时间: 2007-02-28 11:33
送出感谢: 0
接收感谢: 0

#6

帖子 chpn » 2007-02-28 11:53

这种漏洞好像没看影响吧,
头像
Jimmy.Zhou
帖子: 475
注册时间: 2006-12-05 21:51
来自: Vienna, Austria
送出感谢: 0
接收感谢: 0

#7

帖子 Jimmy.Zhou » 2007-03-01 1:24

win32的ff自然不能幸免了 8)
Jimmy.Zhou

Acer Extensa 5620G
T5250 + HD 2400 XT + 2G DDR2 +160G SATA + iwp 3945
Ubuntu Intrepid Ibex + Firefox 3
回复

回到 “服务器基础应用”