2009-07-17

Firefox 3.5 出現第一個漏洞

Firefox 3.5's first vulnerability 'self-inflicted,' says scientist
http://www.computerworld.com/s/article/9135549/

※ 以下略譯,詳見原站。

Mozilla Corp. 昨日表示它們已經證實 Firefox 3.5 第一個安全漏洞,並表示惡意網頁能透過這個漏洞綁架你的電腦。一位著名的火狐貢獻者還形容這種狀況是種「自殘(self-inflicted)」行為。他還提到在週一貼出惡意程式碼的人是透過翻找(rooting through,譯註:想想豬在找松露的樣子)火狐臭蟲的相關討論區才意識到有這個漏洞。

這個漏洞出在 Firefox 3.5 首次現身的 TraceMonkey JavaScript 引擎,只要瀏覽含有惡意程式碼的網頁就會中獎。

一家丹麥資安公司把它列為高度危急的漏洞,並指出問題出在該引擎處理 font 這個 HTML 標籤上。

Asa Dotzler 表示,較舊的火狐版本反而沒有這個問題,他還說目前大家正在修補此漏洞,會盡快將之發佈。

目前的暫時解決之道是關閉 TraceMonkey 引擎的 just-in-time 元件,方法是在網址列輸入「about:config」並在過濾條件中輸入 jit,接著將javascript.options.jit.content 這個參數設為 false,另外 NoScript 這個外掛也能阻擋這個問題。

文中還提到,這個漏洞在上週四就有 Mozilla 開發者提到了,還在研究中,攻擊程式碼竟然就出現(所以才會說「自殘」)... patch 出來後,火狐版本將會是 Firefox 3.5.1。

※ 最近要加油了,翻譯進度落後 XD

1 則留言:

fsj 提到...

Firefox 3.5.1 已經出來了~