Mozilla修補Firefox瑕疵

| | | | | | 留下回應

    

Mozilla基金會23日釋出Firefox重大安全瑕疵的修補程式，並建議民眾更新他們的軟體。

Mozilla首席工程師Chris Hofmann表示，這個承接自Netscape的程式碼目前仍用在呈現GIF影像，有可能造成緩衝區溢流問題。Mozilla的瀏覽器和微軟的IE過去都曾發生類似的記憶體問題，攻擊者可藉此製作惡意的影像檔，當受害者在瀏覽器中點閱後，便執行破壞系統的程式。

Hofmann說，該漏洞是由網路保護業者Internet Security Systems發現，並在對外公佈前完成修補。他說：「我們在修補程式方面保持領先和主動。就這件事情而言，決定性因素是這個漏洞的可能性：駭客利用它發動危險的攻擊有點容易。」

Mozilla基金會23日釋出Firefox 1.02版修補這個問題，並呼籲所有使用者下載安裝該程式。

最近公佈的資料，令外界開始質疑Firefox的安全性。安全科技商賽門鐵克（Symantec）本週的網路威脅報告（Internet Threat Report）指出，去年下半年期間，Mozilla瀏覽器和微軟IE被揪出的安全漏洞，分別有21個和13個。不過，Firefox只有7個瑕疵被認為「非常嚴重」，IE則有9個。Hofmann指出，這些資料顯示開發者的確盡心盡力確保Firefox的安全。

Mozilla總裁Mitchell Baker 22日預言，Firefox的安全瑕疵將遠低於IE，且該開放原始碼瀏覽器的日益普及，也不會改變這一點。

微軟的聲明則指出：「微軟IE有長期可信的紀錄。我們持續對IE進行重大投資，包括Windows XP Service Pack 2，當中提供更有力的安全基礎功能，幫助擊退惡意攻擊、阻擋可疑內容，並消除許多常見的詐騙手段。此外，IE 7也將是一次以安全為焦點的重大更新。」

Mozilla目前正在檢查Firefox大約200萬行的程式碼，以尋找類似23日修補的弱點。去年8月，該組織對任何能在Firefox軟體找到重大瑕疵的人士提供一筆賞金。開發者對於該瀏覽器沿用的程式碼，也都特別留意。Hofmann說：「我們發現且修補的大多數瑕疵，都是還沒有人發現如何利用的地方。」（陳智文）