跟前一个比较类似,新漏洞也使攻击者在用户的机器上运行未经授权的程序。nCircle Network Security的安全研究工程师Tyler Reguly说:“这两个漏洞都跟URL处理过程有关,只是这个处理过程的两个错误。”
尽管Rios和McFeters发布的攻击代码只能运行已经安置在用户机器上的程序,但这已经足够攻击者做出非常危险的事情了,比如可以运用命令行FTP程序去下载恶意软件然后执行。Reguly说:“要触发这个攻击,首先需要引诱用户去点击一个恶意的链接。”
Mozilla的安全主管Window Snyder表示他的团队正在检查并修补该漏洞。自从Thor Larholm演示了IE如何调用Firefox继而运行用户的任意程序之后,Firefox的URL处理器问题就一直困扰着Mozilla。
Mozilla计划在随后的2.0.0.6版本中解决该问题。