Week 10, continued
在线攻击代码已针对Firefox浏览器中的一个重要的未修补缺陷发布。
由安全研究员Guido Landi编写的攻击代码周三发布在多个安全网站上,致使Firefox开发人员争相修补问题。在修补缺陷之前,攻击者可以修改此代码,并用于将未经授权的软件隐藏到Firefox用户的计算机上。
Mozilla开发人员已经针对此漏洞制定了修复措施。预计即将发布的3.0.8浏览器版本已经发布,开发人员现在将其称为“高优先级的防火墙安全更新”,这要归功于攻击代码。 Mozilla安全工程总监Lucas Adamski在一封电子邮件中表示:“我们认为这是一个关键问题。” <更多阅读:
根据Mozilla开发者关于该问题的说明,该错误影响到所有操作系统上的Firefox,包括Mac OS和Linux。通过欺骗受害者查看恶意编码的XML文件,攻击者可以使用该错误进行安装未经授权的软件在受害者的系统上。这种基于网络的恶意软件称为驱动下载,近年来变得越来越流行。虽然浏览器攻击代码的公开发布并不经常发生,但安全研究人员似乎没有很难在浏览器软件中发现错误。上周,CanSecWest安全会议上的两名黑客在Firefox,IE和Safari浏览器中发现了四个单独的漏洞