CNET新闻专区：Dawn Kawamoto　　10/05/2005 网路浏览器Firefox的两项安全漏洞被列为「极度严重」，因为网路上已出现相关的刺探 程式。 安全业者Secunia 周日发出的警告中表示，Firefox 1.0.3版被发现有跨站指令与远端系 统存取瑕疵，但其他版本也可能有问题。 这两项漏洞结合起来，可能会被有心人利用，但目前尚未接获利用刺探程式发动攻击的通 报。其中一个漏洞涉及”IFRAME”JavaScript URLs，这部份并未防止浏览记录中的URL被 另一方执行。Secunia科技长Thomas Kristensen表示：「如果你造访某个恶意网站，它能 窃取浏览记录中其他网站的cookie资料。」攻击者便可利用这些资讯盗用身份，或进入受 害者造访过的密码保护网站。 第二个漏洞位於InstallTrigger.install()的 IconURL参数。传给这项参数的资讯在被使 用前并未适当地核对，攻击者可藉此取得使用者特权。这个瑕疵能让攻击者取得并提升使 用者的系统权限。 需要新扩充套件与主题的使用者必须前往Mozilla更新服务，以手动方式安装。 由於这两个漏洞是在周末被发现，拥有Firefox的Mozilla基金会已采取防范措施，包括改 变其网路更新服务，并建议使用者暂时关闭JavaScript。 不过，Kristensen表示，经由第三方网站下载、安装 Firefox的使用者还是有风险。他指 出：「此威胁依然存在，但现在比较不严重。民众可以前往第三方网站安装该软体，但规 模不会和Mozilla网站一样庞大。」（陈智文) 新闻连结 : http://taiwan.cnet.com/news/software/0,2000064574,20098944,00.htm --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 220.139.123.143 ※ 编辑: kumakevin 来自: 220.139.123.143 (05/10 23:26)