Firefox 3.5有零時安全漏洞

留下回應

分享

    

Mozilla警告，Firefox 3.5網頁瀏覽器內含一個重大的JavaScript安全弱點。

Mozilla周三在資安部落格上貼文指出，Firefox 3.5被發現這項零時安全漏洞(zero-day flaw)，問題是出在Just-in-time (JIT) JavaScript編譯器。某資安研究組織已把範本程式(exploit)上傳至網路，以驗證的確可以利用這個安全漏洞。

資安公司Secunia周三把這項安全漏洞的風險評為「極重大」(highly critical)。

Mozilla指出，此安全漏洞可能讓駭客發動一波「路過式攻擊」("drive-by" attack)，意指一旦受害者造訪某個內含範本程式的網站，就可讓攻擊者在目標電腦上執行惡意程式。

目前尚無修補程式，但Mozilla開發者正著手製作中。Mozilla在部落格公告中建議使用者可暫時關閉Firefox 3.5 JIT編譯器，避開這個問題，但這麼做可能降低Firefox的 JavaScript執行效能。

6月底發布的Firefox 3.5更新中，新增TraceMonkey功能，用來加快Firefox的執行速度，而JIT編譯器是TraceMonkey的一部分。

美國電腦緊急應變團隊(US-CERT)周三表示，使用者和管理者應完全關閉Firefox 3.5裡的JavaScript功能。The Sans Institute也建議使用者關閉JavaScript，改用開放原始碼的Firefox外掛程式NoScript，以便讓受信賴的網站執行必要的script。(唐慧文譯)