Firefox再现“零时间”攻击新漏洞!_新闻资讯_中关村在线种植
Firefox再现“零时间”攻击新漏洞!_新闻资讯_中关村在线
两名黑客周六下午称,开源Firefox Web浏览器在其处理JavaScript的方式上存在严重漏洞。
在出席ToorCon黑客大会的时候,Mischa Spiegelmock和Andrew Wbeelsoi称,通过简单地构造一个包含一些恶意JavaScript代码的Web页面,攻击者可以控制一台运行该浏览器的计算机。该漏洞影响到Windows、Apple计算机的Mac OS X和Linux平台的Firefox。
“每个人都知道,Internet Explorer并不是非常安全。但是Firefox也是相当不安全的,”在博客公司SixApart工作的Spiegelmock说。他同时还透露了这个漏洞的细节信息,并且还播放了一个幻灯片,展示利用该漏洞的攻击代码的关键部分。
Spiegelmock称,该漏洞出现在Firefox的JavaScript的实现过程中。特别是不同的编程技巧可以导致一个堆溢出错误的出现。其实现是一个“完全混乱”的过程,他说道。“这很难去修补。”
Mozilla的安全主管Window Snyder在周六晚上观看了该会议的录像之后,说:“JavaScript的这个问题看上去是一个真正存在的漏洞。他们所描述的可能是一个旧式攻击的变种,我们将对此进行一些研究。”
Snyder对于会议期间针对该漏洞的利用代码的泄漏和发布显得很不高兴。“看上去,在他们的幻灯片中已经为黑客重新该攻击代码提供了足够的信息,”她说道。“我认为这将是很不幸的事情,以为他们将用户至于危险之中,但这可能就是他们的目的所在吧。”
同时,Snyder还称,该会议可能为Mozilla修复该漏洞提供了足够的数据。因为该漏洞好像是存在于浏览器处理JavaScript的部分,解决这个问题可能比常见的修补要困难点。她补充到:“如果它是在一台JavaScript虚拟机上,那么其就不能得到一个快速的修补。”
这两个黑客声称已经掌握了Firefox中30个未打补丁的漏洞,但是他们并不打算将它们公开,而是继续保留这些漏洞。
Mozilla安全雇员Jesse Ruderman参加了这次大会,并被叫上台和这两位黑客进行交流。他试图说服与会者通过Mozilla安全漏洞悬赏奖励计划来披露漏洞,而不是利用这些漏洞来进行非法活动,如创建僵尸网络等等。
- 日企退出土英核电项目日媒中俄企业机遇来了秤盘润滑脂宠物球泥浆泵裁条机Frc
- 美国汽车复合材料大会将于9月召开有机胶兰州排气扇汽车水箱自吸水泵Frc
- 我国启动战略石油储备基地三期选址亚麻脚垫投影幕专业护具对焊球阀制样设备Frc
- 甘肃省检查少儿图书印刷发行市场0进口蔬菜PVC板家具套UPS电器回收Frc
- 合肥地区成品油市场资源尚可价格继续稳定溧阳活塞泵接头小学家教隧道炉Frc
- 进口废纸审批恢复正常核定量创三个月来新高兰溪熔锡炉精密注塑液压油缸电镀镍板Frc
- 2017中国工业物联网产业白皮书发布铜包钢线卷线器压力表锡线运输机Frc
- 临边作业时的安全防护措施眼镜架儋州碎冰机工艺伞直轴冲床Frc
- 国内塑料食品瓶厂家应积极拓展国外市场塑料油箱陆丰电工器材导电胶办公综合Frc
- 广西大举调整工业结构磨浆机械石家庄前帮机水洗机选针器Frc