自從微軟IE 7與Mozilla的Firefox 2在這兩周接連推出後,想“找破綻”的人還真不少。周三就已經有人率先公布IE 7漏洞。
而在最新版的Firefox 2中,目前也有兩個漏洞報告出現在知名的安全郵寄清單中,但Mozilla周三則四兩撥千金以對。
“我只能說這算是雜音而已,”Mozilla安全長Windows Snyder表示,“這兩個問題對Firefox都不會造成真正實質的風險。”
其中一個問題是在前一版Firefox已經修補過的漏洞。Bugtraq郵寄清單中的一份報告指出,這個之前被Mozilla列為重大漏洞的問題在Firefox 2中又跑出來了。
Snyder指出,這份報告是錯的,“它披露的漏洞其實早都修好了。”
不過這其中還是有個問題會造成Firefox當機,“原本可能被利用的問題已經解決了,雖然是有當機問題,但那是阻斷服務造成的,”Snyder表示,“我們會研究這個問題,確保真的沒什麼問題。”
另一份Full Disclosure郵寄清單的報告則指出Firefox 2有個漏洞可助長網絡詐騙。Snyder指出,該份報告雖然有附上一些源代碼,但信息不足,因此Mozilla無法判斷是否真的有問題。
“我們沒有足夠的信息可加以驗證,如果未來還有更多信息,我們會重新調查。”她說。
Mozilla在本周二發布Firefox 2,比微軟最新版IE 7浏覽器的推出晚了一周。兩個浏覽器都強調安全性,並加入一些防釣魚詐騙或信息竊取的功能。
“這是目前Firefox品質最好的一個版本,”Mozilla工程副總裁Mike Schroeper表示,“我們解決了超多的問題,所有證據顯示這是最穩定安全的一版Firefox。”
Snyder表示,他們非常歡迎安全研究人員來“找碴”,只是她呼吁漏洞應該要傳給Mozilla,而不要擅自對外公開。
“安全社區這麼賣力幫我們找漏洞是件好事,”Snyder表示,“一旦找到了,我們會馬上修復,這樣客戶的風險就少了許多。”
