Mozilla 首席工程師Chris Hofmann 表示,這個承接自Netscape的源代碼目前仍用在呈現GIF 影像,有可能造成緩沖區溢流問題。Mozilla 的浏覽器和微軟的IE過去都曾發生類似的內存問題,攻擊者可借此制作惡意的影像檔,當受害者在浏覽器中點擊後,便執行破壞系統的程序。
Hofmann 說,該漏洞是由網絡保護企業Internet Security Systems 發現,並在對外公布前完成修補。他說:“我們在修補程序方面保持領先和主動。就這件事情而言,決定性因素是這個漏洞的可能性:黑客利用它發動危險的攻擊有點容易。”
Mozilla 基金會23日發布Firefox 1.02版修補這個問題,並呼吁所有使用者下載安裝該程序。
最近公布的信息,令外界開始質疑Firefox 的安全性。安全科技商賽門鐵克(Symantec)本周的網絡威脅報告(Internet Threat Report )指出,去年下半年期間,Mozilla浏覽器和微軟IE被揪出的安全漏洞,分別有21個和13個。不過,Firefox 只有7 個瑕疵被認為“非常嚴重”,IE則有9 個。Hofmann 指出,這些信息顯示開發者的確盡心盡力確保Firefox 的安全。
Mozilla 總裁Mitchell Baker 22 日預言,Firefox 的安全瑕疵將遠低於IE,且該開放源代碼浏覽器的日益普及,也不會改變這一點。
微軟的聲明則指出:“微軟IE有長期可信的紀錄。我們持續對IE進行重大投資,包括Windows XP Service Pack 2 ,當中提供更有力的安全基礎功能,幫助擊退惡意攻擊、阻擋可疑內容,並消除許多常見的詐騙手段。此外,IE 7也將是一次以安全為焦點的重大更新。”
Mozilla 目前正在檢查Firefox 大約200 萬行的源代碼,以尋找類似23日修補的弱點。去年8 月,該組織對任何能在Firefox 軟件找到重大瑕疵的人士提供一筆賞金。開發者對於該浏覽器沿用的源代碼,也都特別留意。Hofmann 說:“我們發現且修補的大多數瑕疵,都是還沒有人發現如何利用的地方。”
