当前时区为 UTC + 8 小时



发表新帖 回复这个主题  [ 7 篇帖子 ] 
作者 内容
1 楼 
 文章标题 : [问题]Firefox开源浏览器发现两个漏洞
帖子发表于 : 2007-02-13 2:42 

注册: 2007-02-06 23:09
帖子: 11
送出感谢: 0 次
接收感谢: 0 次
一个安全公司上周宣布在开源浏览器Mozilla Firefox中发现两个漏洞,其中一个漏洞可能使Firefox浏览器用户被盗取本地计算机上的文件。
这两个漏洞都是由Beyond Security公司下属的Securiteam发现的。第一个漏洞于周一公开,该漏洞存在于Firefox的广告过滤功能,根据Securiteam所发布的安全公告,Firefox正常情况下是不允许被访问网站访问本地计算机文件的,但是由于其URL权限检查在用户手动关闭弹出广告过滤功能时也会失效,因此,恶意攻击者可以利用这个漏洞去盗取用户本地计算机存储的文件和个人信息。

针对这个漏洞的攻击流程如下:恶意攻击者伪造一个包含该漏洞利用代码的页面,并将该页面的地址发送给用户,当用户点击此连接时,Firefox会弹出一个询问用户是否允许下载文件或播放视频的弹出窗口的提示,如果用户允许了该弹出窗口,恶意攻击者伪造的页面将获得访问用户本地计算机文件的权限。

从测试结果看,该漏洞只存在于低于版本2.0的Firefox中,但是在Securiteam的安全公告中没有提到这一点。



周三Securiteam公布的第二个Firefox漏洞存在于Firefox的反钓鱼保护功能中,恶意攻击者伪造的钓鱼网站只需要在页面上加入特定的字符即可使Firefox认为它是安全的正常网站,这个漏洞在最新的2.0.0.1版本的Firefox中依然存在。

目前Mozilla还没有对此安全公告提到的两个Firefox漏洞进行确认。



这对ubuntu有影响么?


页首
 用户资料  
 
2 楼 
 文章标题 :
帖子发表于 : 2007-02-13 8:04 
头像

注册: 2007-02-07 14:52
帖子: 167
送出感谢: 0 次
接收感谢: 0 次
只存在于低于2.0的版本中,那就是说我们用的这个firefox1.5也有问题了哦,不知道怎么解决哦。


页首
 用户资料  
 
3 楼 
 文章标题 :
帖子发表于 : 2007-02-13 8:41 
头像

注册: 2005-08-14 21:55
帖子: 58428
地址: 长沙
送出感谢: 4
接收感谢: 272
影响有限。别用root就是手段。


_________________
● 鸣学


页首
 用户资料  
 
4 楼 
 文章标题 :
帖子发表于 : 2007-02-15 3:22 
头像

注册: 2006-10-18 0:36
帖子: 281
地址: Core
送出感谢: 0 次
接收感谢: 0 次
win32 的firefox也有这问题么````````


_________________
T60p/T7600/2G/WD1600BJKT/BT/AR5008/V5200/15' QXGA


页首
 用户资料  
 
5 楼 
 文章标题 :
帖子发表于 : 2007-02-15 14:01 
头像

注册: 2007-01-31 23:01
帖子: 61
地址: 慕尼黑
送出感谢: 0 次
接收感谢: 0 次
Firefox不是以root身份运行的。


页首
 用户资料  
 
6 楼 
 文章标题 :
帖子发表于 : 2007-02-28 11:53 

注册: 2007-02-28 11:33
帖子: 415
送出感谢: 0 次
接收感谢: 0 次
这种漏洞好像没看影响吧,


页首
 用户资料  
 
7 楼 
 文章标题 :
帖子发表于 : 2007-03-01 1:24 
头像

注册: 2006-12-05 21:51
帖子: 475
地址: Vienna, Austria
送出感谢: 0 次
接收感谢: 0 次
win32的ff自然不能幸免了 8)


_________________
Jimmy.Zhou

Acer Extensa 5620G
T5250 + HD 2400 XT + 2G DDR2 +160G SATA + iwp 3945
Ubuntu Intrepid Ibex + Firefox 3


页首
 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 7 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 4 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
本站点为公益性站点,用于推广开源自由软件,由 DiaHosting VPSBudgetVM VPS 提供服务。
我们认为:软件应可免费取得,软件工具在各种语言环境下皆可使用,且不会有任何功能上的差异;
人们应有定制和修改软件的自由,且方式不受限制,只要他们自认为合适。

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
简体中文语系由 王笑宇 翻译