Firefox 3.5曝出零时安全漏洞 风险评级为"极重大"

2009/7/17 来源:www.arpun.com 作者:小白

 Mozilla警告, FireFox 3.5网页浏览器内含一个重大的JavaScript安全漏洞。

Mozilla周三在安全博客上贴文指出, FireFox 3.5被发现这项零时安全漏洞(zero-day flaw), 问题是出在Just-in-time (JIT) JavaScript编译器。 某安全研究组织已把范本程序(exploit)上传至网络, 以验证的确可以利用这个安全漏洞。

安全公司Secunia周三把这项安全漏洞的风险评为极重大(highly critical)。

Mozilla指出, 此安全漏洞可能让黑客发动一波路过式攻击(drive-by attack), 意指一旦受害者造访某个内含范本程序的网站, 就可让攻击者在目标电脑上执行恶意程序。

目前尚无补丁程序, 但Mozilla开发者正着手制作中。 Mozilla在博客公告中建议使用者可暂时关闭FireFox 3.5 JIT编译器, 避开这个问题, 但这么做可能降低FireFox的 JavaScript执行性能。

6月底发布的FireFox 3.5更新中, 新增TraceMonkey功能, 用来加快FireFox的执行速度, 而JIT编译器是TraceMonkey的一部分。

美国电脑紧急应变团队(US-CERT)周三表示, 使用者和管理者应完全关闭FireFox 3.5里的JavaScript功能。 The Sans Institute也建议使用者关闭JavaScript, 改用开放源代码的FireFox外挂程序NoScript, 以便让受信赖的网站执行必要的script。

网友评论
评论(...
全部评论