Beyound Security旗下的SecuriTeam声称在本周发现了Firefox浏览器的两个新漏洞,可能使本地文件很容易就受到外部攻击。在去年10月份Firefox 2.0刚发布就有两起bug报告,但是被Mozilla予以驳斥。
第一个漏洞利用了Firefox的弹出窗口。浏览器默认不允许Web访问本地文件,但当用户手动关闭弹出窗口,这个URL许可检查就被屏蔽。若用户不小心点击了恶意链接,此链接会偷偷在目标文件中植入恶意代码,用户允许弹出的视频播放和下载黑客移植的文件就装载成功,结果使得黑客利用这一漏洞来窃取本地文件以及存储在这些文件中的个人信息。
第二个漏洞存在于Firefox自身的反钓鱼保护功能里。一个熟练的钓鱼者可以在web站点的URL中添加特殊字符串,使Firefox信任此站点是安全的。
看来bug是无时不有无处不在,据说这种漏洞可能仅存在于Firefox 1.5,而不影响Firefox 2.0.Beyond Security对此未作评论,Mozzilla对这次安全漏洞的报告也保持沉默。