|
两位人士以亦正亦邪的方式公布开放源代码浏览器Firefox中的可能漏洞,以及如何加以利用。
该漏洞影响Firefox的版本包括Windows版、Mac OS X版与Linux版。
据国外媒体报道,9月30日下午,在美国加州举行的ToorCon黑客大会上,两名黑客(安全专家)在发言时揭发了火狐浏览器中有关Javascript脚本处理的一个致命漏洞。这让Mozilla公司非常不快,参加会议的一名火狐工程师走上讲台,“怂恿”他们去拿每个漏洞500美元的奖金,但遭到拒绝。
这两名安全专家一个名叫斯皮格尔莫科,另外一个叫安德鲁。两人在会上宣布,他们已经掌握了火狐浏览器大约三十多个尚未打补丁的漏洞,但他们不会公开,直到火狐发布补丁。
两人称,其中一个致命漏洞和火狐浏览器处理Javascript脚本程序有关,这个漏洞存在于Windows、Mac OS X和Linux版本的火狐中。据称,黑客可以编写恶意的客户端Javascript脚本,从而引发用户电脑出现堆栈溢出错误。水平高的黑客可以控制用户的电脑。
两人在会上发布的演示稿中甚至公开了利用此漏洞所需的一小段代码。斯皮格尔莫科表示,这个漏洞“是无法通过补丁解决的”。
火狐方面对此次披露做出了反应。Mozilla公司的新任安全女总监斯奈德在观看了大会发言视频之后表示,Javascript的问题可能构成一个真实的漏洞。斯奈德说:“他们所描述的似乎是一个旧的攻击的演化版本,我们将会进行研究。”此外,斯奈德也对于这些黑客在公开场合公布漏洞表示了不满,她认为他们公布的信息足以让真正的黑客加以利用,而将火狐用户置于风险之下。斯奈德还补充说,由于漏洞和Javascript有关,修补需要比一般更长的时间。
有意思的是,Mozilla公司的一名安全工程师当天也参加了这次大会。此人走上讲台,劝说两位黑客不要公开披露。这位名叫卢德曼的Mozilla员工说:“我希望你们改变主意,向我们报告这些漏洞,领取每个漏洞五百美元的赏金,而不是让这些漏洞被黑客利用来构建僵尸网络。”两名专家对此建议大笑不止,但加以拒绝,其中的安德鲁表示,他们的举动对于互联网安全有益,并不会被黑客利用。
| 
