【赛迪网讯】9月6日消息,据两名安全研究人员称,尽管在7月份打了两次补丁,Firefox仍然会受到因协议处理缺陷造成的攻击的威胁。
据国外媒体报道,里奥斯和麦克菲特斯表示,他们已经发现另一种通过浏览器向用户发送恶意代码的方法。里奥斯在其博客中表示,尽管Firefox 2.0.0.5中允许远程执行命令的问题已经被一款补丁软件所修复,但是,这一问题的核心━━基本的文件类型处理问题并没有得到修正。
URI缺陷是7月份的一个热门话题,挪威的一名研究人员拉霍姆进行了浏览器如何被欺骗发送恶意数据的演示。尽管拉霍姆最初将该缺陷的元凶确定为IE,但其他研究人士很快指出,Firefox也受到了这一缺陷的困扰。
里奥斯和麦克菲特斯没有披露如何利用新发现的URI缺陷发动攻击的详细技术资料,他们表示这将使Mozilla的安全团队有时间修正该缺陷。但是,他们发布了一个屏幕截图,声称该截图能够说明他们是如何利用“mailtoURI”执行任何恶意软件的。
尽管本周二Mozilla没有就这一问题发表评论,但新缺陷并不让人感到意外。在代号为2007-027的安全公告中,Mozilla颇有预见性的指出,协议处理方式中可能存在更多的缺陷。
微软曾经多次表示,协议处理问题存在于各个应用软件━━而不是Windows本身中。8月份,微软的一名项目经理马克表示,微软不应当受到指责。他说,安全是整个业界的职责,该缺陷就是这样的。微软无意成为所有第三方应用软件的门卫。
尽管一些安全专家称黑客将转向这种非正规的策略,没有证据表明这种策略已经被黑客广泛采用。