CNET科技資訊網10月2日國際報道 兩名電腦黑客30日宣稱,開放源代碼Firefox浏覽器處理java script的方式有一項嚴重漏洞。
Mischa Spiegelmock和Andrew Wbeelsoi在ToorCon黑客會議上表示,攻擊者只要制作一個內含若干惡意java script源代碼的網頁,便可通過Firefox控制遠端電腦。該漏洞影響Windows、蘋果Mac OS X和Linux各版的Firefox。
在博客公司SixApart擔任正職的Spiegelmock表示:“大家都知道,IE不怎麼安全,但Firefox也非常不保險。”他詳細說明該漏洞,展示相關攻擊碼的各個重要部分。
問題主要出在Firefox執行java script指令語言的方式。Spiegelmock表示,尤其是有不同的程序編寫技巧能造成stack overflow錯誤。他說,Firefox的執行是“一團混亂…根本不可能修補”。
看過當天會場的錄影後,Mozilla安全主管Window Snyder承認,java script問題是個真正的弱點。她說:“他們所說的可能是一種舊型攻擊的變種,我們會進行一些調查。”
Snyder不樂見這麼明顯的威脅在會議上大肆曝光,她說:“看來他們擁有足夠的信息讓攻擊者復制。我認為這是不幸的,因為使用者會陷入危險,而那似乎是他們的目的。”
另一方面,他們的說明或許也給Mozilla足夠的信息修補該漏洞。然而,由於問題出在java script,解決方法可能比一般性的修補困難。
Snyder說:“如果問題出在java script虛擬器,就無法很快解決。”兩名黑客宣稱他們知道約30個Firefox漏洞,但不打算公布。
參加該會議的Mozilla安全職員Jesse Ruderman,曾嘗試上台說服兩名黑客以負責任的方式揭露安全漏洞,也就是通過Mozilla的抓錯獎金計劃,而非惡意地幫助疆屍網絡的建立。
Ruderman說:“我真心希望你們改變主意,把漏洞通報我們然後領取500美元獎金,而不是用它們建立疆屍網絡。”
兩名黑客對這種笑置之,Wbeelsoi說:“這是一把雙面刃,但我們所做的對整個網絡有更大的好處,我們要為黑帽建立通訊網絡。”
