Firefox出現兩個漏洞

CNET新聞專區：Caroline McCarthy 　　08/02/2007

資安公司在Mozilla Firefox瀏覽器發現兩個新安全漏洞，可能造成儲存在本機的檔案遭到外來攻擊。

這兩項漏洞都由Beyond Security公司旗下的SecuriTeam部門率先披露。SecuriTeam 5日表示，第一個漏洞出現在Firefox的快顯示攔截功能。

報告指出，Firefox瀏覽器通常不讓網站存取儲存在本機上(stored locally)的檔案，但是當Firefox使用者手動關閉快顯視窗後，就壓制掉這項檢查URL網址可否放行的功能。結果造成駭客可能利用這個漏洞竊取儲存在本機上的檔案以及檔案中可能內含的個人資料。

這種攻擊的一種可能情況，是在使用者點閱某個包藏禍心的連結，導致電腦硬碟被駭客偷偷植入某個夾帶駭客程式的目標檔案。接下來，螢幕可能顯示提示，要求使用者准許快顯視窗彈出，以便播放影像檔或進行下載。然後，駭客程式會利用瀏覽器的漏洞(此漏洞讓攻擊者有讀取本機檔案的權限)載入。

這項漏洞似乎只發生在比目前2.0版舊的Firefox版本，但Beyond Security未進一步說明。

SecuriTeam緊接著在7日宣布第二項安全漏洞，出現在Firefox的防網路釣魚(phishing)功能。利用這項弱點，熟練的網釣客可能耍花招，把特殊字元插入自己網站的URL網址內，騙瀏覽器以為這個仿冒網站其實是安全的。

這個網釣漏洞似乎也會影響目前的2.0.0.1版Firefox。

Mozilla 7日尚未針對此問題回應。(唐慧文/譯)

via:here

Firefox有漏洞 明知是"釣魚"網站也不攔截

作者:友亞　發佈時間：2007.02.11 09:17:29 來源:賽迪網

【賽迪網訊】2月11日消息，安全研究人員日前表示，在Firefox瀏覽器中發現了一處安全漏洞，只要稍微更改頁面上的URL鏈結，即可使Firefox的“反釣魚”功能形同虛設。
據Vnunet網站報道，安全網站SecuriTeam稱，通過該漏洞，即使“釣魚”網站已經被列在Firefox的已知釣魚網站列表中，但這些惡意網頁仍能可以被正常訪問，並顯示為可信站點。

到目前為止，Mozilla尚未對此發表任何評論。

據Smartware此前一項研究結果顯示，Firebox 2的反釣魚功能要強于微軟新版瀏覽器IE 7。報告顯示，在最高安全安級別設置下，Firebox 2攔截了81.5%的釣魚站點，而IE 7隻攔截了66.35%。但該項調查是受Mozilla委託而進行的。

Mozilla首席運營官John Lilly上周曾表示，為了與微軟爭奪全球第二大互聯網市場，Mozilla將在北京設立辦事處。據Lilly透露，Mozilla目前在全球擁有8000萬-1億用戶，而中國約為100萬左右。

via:here