据安全研究专家发现,Mozilla和Firefox浏览器的用户以及Thunderbird电子邮件的用户可能会遭到袭击,因为上述产品所含漏洞能导致入侵者的监视,或摧毁系统。
MozillaProject称,Mozilla1.7.5之前的版本所含最严重的bug可以导致系统崩溃,或执行恶意的代码。据iSEC安全研究中心的MaurycyProdeus研究发现,其中,Mozilla用来处理“news://”的方式能被利用,导致基于堆栈的缓冲区溢出(heap-basedbufferoverflow),这能引起系统崩溃,以及代码的破坏。
入侵者可以在电子邮件及网页中创造一个超长的“news://”链接,引诱用户点击。这一方法已被成功运用于蠕虫病毒的传播。
要发现这一漏洞,入侵者必须指向一个能够访问的真实新闻服务器。Prodeus创造了一个概念验证(proof-of-concept)文件来演示这一bug。
Firefox和Thunderbird还受到一些问题的困扰。其中一个就是当用户存储临时文档的时候,部分文档名可能已被预计出来,或是以任何人都可阅读的方式存储。这意味着本地入侵者能轻易阅读其他用户的附件或下载文件。
Secunia研究人员还发现在Firefox下载文件时盗窃文档名的方法。一个恶意站点能利用这一漏洞给用户下载的文件起一个假名,来掩饰文件的真实内容,或者当用户在本地系统打开具体文件时,盗取文件信息。
|