Mozilla已釋出安全更新,修補Firefox瀏覽器、Thunderbird電子郵件用戶端程式以及SeaMonkey應用程式的重大安全漏洞,以免使用者的私密資料外洩。
Mozilla建議使用者更新至周二發布的3.0.5版Firefox、2.0.0.19版的Thunderbird,和1.1.14版的SeaMonkey。
這次修正的安全弱點出現在舊版的Firefox 3,以及Firefox 2的各種版本。
資安研究公司Secunia周三發表研究報告指出:「Mozilla Firefox傳出內有一些安全弱點,可能遭惡意人士利用來迴避若干安全限制、揭露敏感資料、進行跨站腳本攻擊(cross-site scripting attack),甚至有可能接管使用者的電腦系統。」
具體來說,可能有三種情況。一,惡意人士可能利用layout錯誤或JavaScript引擎錯誤,蓄意損壞記憶體,趁機執行來路不明的程式碼。二,執行 'persist' XUL attribute時出現的錯誤,可能被利用來迴避cookie設定,並且在後續的瀏覽sessions中獨一無二地辨識出某個使用者。三,多重錯誤可利 用來迴避相同來源政策(same-origin policy)、揭露敏感資料,並以chrome權限執行JavaScript程式碼。
Mozilla已發出一份安全通知,解決這三種程式(Firefox、Thunderbird與SeaMonkey)潛在的重大安全漏洞。這些安全漏洞可能起因於記憶毀損,造成惡意攻擊者從使用者電腦發動惡意程式攻擊。
Mozilla另提到,這三種程式內含第二組重大安全弱點,可能造成使用者在逛合法網站時被挾持到惡意的網站,導致使用者的隱私資料在那裡遭到竊奪。第三組重大安全漏洞可能導致駭客從不同的網站發動惡意的JavaScript程式攻擊。
沒有留言:
張貼留言