精华网络内容 :http://www.qqread.com/network/
Mozilla公司的Firefox2.0也容易受到那些利用Windows动态光标漏洞的黑客们的攻击。所以该公司昨天督促微软迅速赶制出临时应急的补丁包。
Determina的漏洞研究员Alexander Sotirov去年12月发现了ANI漏洞,并在上个月末的时候通知了微软。昨天他发表了一份演示,展示如何利用ANI漏洞来诱使Firefox用户访问恶意站点,并劫持计算机。
Sotirov在演示过程中说,“这表明Firefox处理.ani文件的时候用的同样是微软的ANI组件,那么它同样可能受到跟针对IE的攻击很类似的攻击。”
他展示了在使用Vista的计算机上IE7和Firefox2.0如何能被利用ANI进行的攻击所危害。他使用了去年12月自行制作的ANI攻击来进行演示,该演示也曾提供给微软的安全小组作为参考。
在针对IE7的攻击中,攻击者能够访问系统中的所有文件,但是由于Vista默认的IE保护模式,Sotirov说“我们不能更改任何系统文件。”
Vista版的IE是以低权限模式运行的——微软称其为“保护模式”——该模式禁止对除一个临时文件夹之外的任何文件的硬盘写入操作。
而在针对Firefox2.0的相同攻击中,Sotirov可以访问所有的PC硬盘分区。“由于Firefox没有跟IE的保护模式类似的低权限模式,我们还可以覆盖文件,”他说。
一些第三方安全软件供应商声称Firefox2.0不会受到攻击。例如,赛门铁克在给DeepSight用户的威胁预警中称,“Mozilla的Firefox不受该漏洞的影响。”
但Sotirov说,其实并非如此。“产生分歧的原因是,针对Firefox的攻击目前还没有公开。因此,某种意义上说,由于没有在野的针对Firefox攻击,因此Firefox相对比较安全。但是,人们应当注意,攻击者们可能已经找到了攻击Firefox的方法了。”
Mozilla并没有对此事作出任何评论,也没有确认Firefox也会受到攻击。
到目前为止,Mozilla已经发布了10项Firefox补丁包。 
更多内容请看DoS 拒绝服务攻击专题、脚本攻击和防范、DDoS攻击防御与分析专题,或进入讨论组讨论。
相关专题
- DoS 拒绝服务攻击专题 (1224篇文章)
- 脚本攻击和防范 (2370篇文章)
- DDoS攻击防御与分析 (1491篇文章)
- ARP攻击防范与解决方案 (1714篇文章)
- 漏洞专区 (1744篇文章)
- US-CERT 再次发出RealPlayer危险警告 (12次浏览)
- 病毒太疯狂,即时通信难逃一劫 (12次浏览)
- 12月通过电子邮件传播的二十大恶意软件 (8次浏览)
- 2007.12.24至2007.12.30 每周病毒报告 (4次浏览)
- 盗号木马伪装成文本文件 专偷QQ密码 (2次浏览)
- 新垃圾邮件:我真的没带病毒来啊 (1次浏览)
- Windows任务计划程序惨遭蠕虫利用 (1次浏览)
- 07年电脑安全大盘点:蠕虫网络威胁Web2.0 (0次浏览)
- 2007.12.31至2008.1.6 每周病毒报告 (0次浏览)
- 麦咖啡错将合法网站当贼抓 (0次浏览)
