免费开源的漏洞检查工具;Firefox 扩展下架;谷歌位置记录彻底关闭
所有安全问题都与软件中的“位置”对象有关。其中一个缺陷与某些插件结合后,可能会被利用来对用户执行跨站点脚本攻击。这些攻击通常用于感染受信任网站上的Web应用程序,并将恶意代码推送给这些网站的毫无戒心的访问者。
另一个漏洞涉及浏览器代码中的CheckURL功能,可能会强制返回错误的值。 Mozilla表示,这可能会在跨站点脚本攻击中被利用,或者被用来执行任意代码到与页面上的内容进行交互的浏览器加载项。
[更多阅读:如何从Windows中删除恶意软件PC]
更新解决的第三个缺陷允许位置对象上的安全包装被黑客绕过。Mozilla还推出了其Thunderbird电子邮件客户端的更新,以解决该程序中的类似漏洞。它在博客中解释说,新版本所解决的位置漏洞对Thunderbird的影响较小,因为它仅通过RSS源和扩展来加载Web内容。
当Firefox 16于10月9日发布时它解决了14个安全公告中列出的漏洞,其中11个是“关键”漏洞。该版本发布后的24小时内,Mozilla出于安全考虑停止下载软件。为了解决这些问题,Mozilla发布了浏览器的16.0.1版本。该版本插入了允许恶意网站读取这些网站访问者浏览记录的漏洞。