Beyound Security旗下的SecuriTeam聲稱在本周發現了Firefox浏覽器的兩個新漏洞,可能使本地文件很容易就受到外部攻擊。在去年10月份Firefox 2.0剛發布就有兩起bug報告,,但是被Mozilla予以駁斥。
第一個漏洞利用了Firefox的彈出窗口。浏覽器默認不允許Web訪問本地文件,但當用戶手動關閉彈出窗口,這個URL許可檢查就被屏蔽。若用戶不小心點擊了惡意鏈接,此鏈接會偷偷在目標文件中植入惡意代碼,用戶允許彈出的視頻播放和下載黑客移植的文件就裝載成功,結果使得黑客利用這一漏洞來竊取本地文件以及存儲在這些文件中的個人信息。
第二個漏洞存在於Firefox自身的反釣魚保護功能裡。一個熟練的釣魚者可以在web站點的URL中添加特殊字符串,使Firefox信任此站點是安全的。
看來bug是無時不有無處不在,據說這種漏洞可能僅存在於Firefox 1.5,而不影響Firefox 2.0.Beyond Security對此未作評論,Mozzilla對這次安全漏洞的報告也保持沉默。