Rss & SiteMap
爱心论坛 http://www.zqax.net/bbs/
这个漏洞存在于Firefox的URL处理器组件中,而这一组件正是此前Mozilla所公布另一漏洞的根源所在。
nCircle Network Security的安全研究工程师Tyler Reguly表示,与此前公布的漏洞一样,这个新发现的漏洞也可以被攻击者利用来启动受害者电脑上的应用程序,而这一过程并不需要认证。他表示这两个漏洞都与URL处理过程相关,它们只是相同处理过程中的不同错误而已。
虽然那两位研究人员公布的代码只能运行那些已经安装在受害者电脑上的程序,但是如果被犯罪者利用将会是非常危险的事。例如,攻击者可以利用受害者电脑上的已有程序来下载恶意程序并进行安装,这样后果就不堪设想了。
攻击者会引诱用户点击某恶意链接以使攻击执行。自从安全研究人员Thor Larholm演示了IE和Firefox如何进行交互,并且这会被攻击者利用来在用户电脑上不必进行验证就能运行软件之后,Firefox的URL处理器问题一直困扰着Mozilla。为了实现攻击,IE要从网上下载错误格式的数据并转发给Firefox,这样就能够启动不需验证的软件。
Mozilla计划在即将推出的Firefox 2.0.0.6中修复这个漏洞。