2007年7月12日消息，把IE和火狐瀏覽器安裝到一個(gè)系統(tǒng)上使用可引起零日攻擊的危險(xiǎn)。研究人員對于這個(gè)問題應(yīng)該由微軟負(fù)責(zé)還是由Mozilla負(fù)責(zé)意見不一。
據(jù)itnews.com.au網(wǎng)站報(bào)道，Mozilla正在研制補(bǔ)丁，修復(fù)影響到火狐瀏覽器和微軟IE瀏覽器的一個(gè)非常嚴(yán)重的安全漏洞。
在網(wǎng)絡(luò)上對于這個(gè)問題應(yīng)該由微軟負(fù)責(zé)還是由Mozilla負(fù)責(zé)還存在分歧的同時(shí)，Mozilla負(fù)責(zé)安全的官員Window Snyder表示，他們將認(rèn)真對待這個(gè)問題。她說，Mozilla相信縱深防御并且將在即將推出的火狐2.0.0.5版中修復(fù)這個(gè)漏洞以便緩解這個(gè)問題。但是，這并不能阻止IE向火狐發(fā)送惡意代碼。
安全研究人員Thor Larholm把這個(gè)安全漏洞稱作IE瀏覽器的輸入驗(yàn)證安全漏洞。他說，這個(gè)安全漏洞與他早些時(shí)候在蘋果Safari第三測試版中發(fā)現(xiàn)的安全漏洞是一樣的。
他解釋說，當(dāng)安裝火狐瀏覽器的時(shí)候，它注冊一個(gè)URL協(xié)議控制器。當(dāng)IE瀏覽器遇到火狐URL方案中的內(nèi)容參考的時(shí)候，它就調(diào)用具有EXE圖像路徑的ShellExecute程序，并且沒有輸入任何驗(yàn)證信息就把整個(gè)URL請求發(fā)送出去。
這就意味著如果有人使用IE訪問一個(gè)設(shè)法調(diào)用火狐URL的網(wǎng)頁，微軟瀏覽器將沒有任何提示啟動(dòng)火狐瀏覽器并且把這個(gè)URL發(fā)送給火狐瀏覽器。Mozilla稱，這兩個(gè)瀏覽器都不審查這個(gè)URL。這將允許攻擊者讓火狐瀏覽器執(zhí)行惡意的JavaScript代碼。
微軟發(fā)言人稱，微軟全面調(diào)查了IE瀏覽器存在安全漏洞的說法，發(fā)現(xiàn)這并不是微軟產(chǎn)品中的漏洞。
Snyder稱，單獨(dú)使用火狐貍覽器不會(huì)引起這個(gè)問題。她說，重要的是需要指出，如果你使用火狐瀏覽器訪問一個(gè)網(wǎng)頁，你不會(huì)受到這種攻擊。

標(biāo)簽： 安全 代碼 漏洞 網(wǎng)絡(luò)

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。