引:Mozilla公司某高层管理人员称,星期四公开的1.5版火狐浏览器中的第一个安全漏洞并不象最开始预计得那么严重,但是Mozilla公司还是会在明年年初发布一个补丁文件来修复它。
Mozilla公司称,问题并没有开始预期得那么严重,但是他们还是会把它修复。
Mozilla公司某高层管理人员称,星期四公开的1.5版火狐浏览器中的第一个安全漏洞并不象最开始预计得那么严重,但是Mozilla公司还是会在明年年初发布一个补丁文件来修复它。
Mozilla公司计划在下一次发布常规计划的火狐浏览器补丁包时修复这个最新的漏洞。Mozilla公司工程副总裁Mike Schroepfer说,补丁发布的时间可能是明年一月底或二月初。 1.5版火狐浏览器是在11月30日正式发布的。
他今天在接受采访时表示:“根据我们掌握的信息,这是一个严重程度相对较低的问题,但是我们还是会将它解决掉。”
Packet Storm Security安全团体在星期三发布了可以利用该安全漏洞的程序代码。据自由安全顾问John Bambenek星期四在计算机安全研究组织SANS的因特网风暴中心网站上发表的一篇文章称,攻击者利用这个程序代码可以在用户运行火狐浏览器时令用户电脑发生缓冲溢出现象,然后对用户电脑发起拒绝服务式攻击。
据该文章称,这个安全漏洞在火狐浏览器的history.dat文件中,这个文件储存着用户访问过的网站历史记录。攻击者可以制作一个超长的网址(也许用几百万个字符组成),然后在火狐浏览器浏览了该网址后令其history.dat文件变得非常大。 Bambenek在文章中写到:“每当用户浏览到这种网站,其火狐浏览器就会崩溃。”
安全研究公司Secunia公司在星期四在其网站上将该漏洞评定为“非严重级”漏洞。
Schroepfer说,到目前为止,一大批志愿者们和Mozilla公司的工程师们还没有发现有人利用Packet Storm团体发布的概念证据(proof-of-concept)代码发起拒绝服务式攻击的现象。他说:“我们进行了大量测试,但是没有确切的证据可以说明火狐浏览器崩溃了。”
Schroepfer说,当工程师们试图去修复这个问题时,发现浏览器运行速度非常缓慢,花了特别长的时间来加载网页,但是只要将浏览器关闭然后再重新打开就可以了。浏览器将不会发生崩溃现象。 他说:“最后,浏览器将正常运行和正常启动。”
而且Schroepfer还说,一般情况下,用户在浏览网页的时候访问到这种网站的可能性非常小。他说:“除非你去浏览某些人花费了大量时间刻意制作的专门用来害人的恶意网站才会遇到这种问题。” “在那种情况下,你浏览了恶意网页,那么下次你的浏览器启动时就必须花很长的时间。”
Schroepfer补充说,即使某个用户偶然浏览到了这样的一个恶意网页,只要他清除掉浏览器的历史记录就可以解决问题。
开源团体Mozilla基金会下属的Mozilla公司负责发行Mozilla软件产品火狐浏览器和雷鸟电子邮件客户端软件。1.5版火狐浏览器在从Windows 98到XP的各种版本的Windows系统上都可以运行,还可以在Mac OS X操作系统和各种版本的Linux操作系统上运行。据Mozilla公司称,自从火狐浏览器去年首次发行以来,它已经被下载了1亿次。
|
