网路安全厂商指出，在Firefox上发现的重大漏洞较之微软IE可能引发的风险相去不远， 并可能因为所采用的Mozilla核心(Kernel)漏洞，引发安装该软体的多种作业系统遭受骇 客攻击。 赛门铁克今日所发表的网路安全报告中指出，该公司在最近走红的Firefox浏览器软体上 所发现的漏洞数量，其实与恶名昭彰的微软IE相去不远，并提醒一直以来认为Firefox比 IE安全的用户，要注意重大漏洞的程式更新，以免因为一时的疏忽而遭受攻击。 赛门铁克北亚区技术总监王岳忠表示，赛门铁克在2004年下半年时，共记录了13个IE漏洞 、21个Mozilla漏洞，影响所及包括采用Mozilla 浏览器核心技术的Mozilla与Firefox浏 览器，而在所发现的漏洞之中，被列为高度严重性者占IE漏洞的69%；占Mozilla浏览器漏 洞的 52%，显示出使用Mozilla系列浏览器仍有一定安全风险。 王岳忠强调道，属後起新秀的Firefox一直以来普遍被认为比IE安全性高，可能的原因在 於使用人数较少，未引起病毒、骇客攻击的意愿，但随着几起重大漏洞的发现，也揭露了 使用Firefox的潜在风险。 他说，另一项值得注意的是，Firefox可被安装在Windows、Linux，以及MAC等不同作业系 统平台，将可能引发透过核心漏洞而来的跨平台骇客攻击行为。 相较於微软所提供的自动更新功能，Firefox仅在官方网站上提供更新版软体供下载，为 防可能发生的网路安全问题，使用者应不定期上网下载最新更新程式。 今年一月初曾有安全厂商公布Mozilla Firefox 1.0版的安全漏洞，该弱点可能让骇客在 下载对话框里的URL位址动手脚，以假乱真。使用者试图自某网站做下载动作时，对话框 即弹出，由於对话框里的子网域与路径的显示不正确，会造成安全性露出破绽，给骇客趁 机隐藏实际下载网址的机会，引发网路钓鱼攻击。 近年来透过系统漏洞而来的攻击行为十分常见，使得各家软体厂商纷起补救，其中以微软 动作最大，并为修补现有软体漏洞一度延迟新产品的开发计画，只是每年所发现的漏洞数 量仍未见减缓。 王岳忠解释道，现有系统漏洞以Web应用程式的漏洞新增比例最高，约占所有漏洞数量的 48%，，主要原因在於网路应用普及後，各家软体厂商多加速Web应用的开发，因而压缩软 体编写的作业时间，导致Web应用程式的漏洞数量持续攀升。 转录至http://taiwan.cnet.com/news/software/0,2000064574,20097565,00.htm --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 211.74.62.64