蛰伏七年 Firefox惊现中等危急漏洞

    【IT168 软件资讯】作为挑战IE最具实力的网络浏览器，Firefox自2004年6月推出以来，立即受到人们的追捧，用户人数更是飞速增加，下载量冲破5000万大关。不过俗话说“树大招风”，6月6日，著名的安全厂商Secunia发出警告称：最近，一个能让黑客在可信赖网站中放置恶意代码的存在长达7年之久的缺陷重新在Firefox浏览器中出现。

    这一缺陷发生在Firefox处理frame的方式中，即在浏览器窗口中独立显示Web内容。Secunia在一份公告中称，Firefox不检查在同一窗口中显示的frame是否都来自同一网站。Firefox 1.x、Mozilla 1.7.x 和Camino 0.x 都易受到这一缺陷的攻击。

    黑客利用这一缺陷，就可以在一个可信赖网站上的frame中插入内容。如，在与网络银行发生业务关系的用户就有可能受骗上当，泄露了个人资料或下载恶意代码。Secunia称，诈骗攻击要起作用，需要用户在不同的窗口中同时打开黑客网站和可信赖网站。点击恶意网站上的一个链接后，会在可信赖网站的一个frame中显示黑客发布的内容。故用户不要同时访问可信赖和可疑网站。为保护用户的切身利益，Secunia建议用户在访问网络银行、网络商店等要求输入个人资料的网站时，关闭其它所有的窗口和标签。Secunia将这一缺陷评定为“中等危急”。

    自Firefox 1.0发布以来，目前已经进行了四次大的升级，分别是：

    2月，Firefox 1.0.1版发布，有效解决IP欺骗，保护系统不受IP欺骗并防止强制代码的执行。

    3月23日，Mozilla Firefox 1.0.2版发布，主要进行了安全和稳定性的的提升。Firefox修正了GIF图形处理代码的缓存溢出错误。

    4月8日，Firefox 1.0.3版发布，主要内容包含安全和稳定性的补丁，如修复了月初披露的JavaScript安全漏洞。

    5月8日， Firefox 1.0.4版发布，修正了两个漏洞，这种漏洞可使恶意攻击者使用交叉脚本和进行远程接入。

    Mozilla Firefox是一个自由的，开放源码的浏览器， Firefox历次在最短时间内弥补系统漏洞，虽然Secunia将这一缺陷评定为“中等危急”。编者希望Firefox本着急用户之所急，尽快的推出新的版本将漏洞补死，以避免用户更大的经济损失。