据Mozilla的安全部门的研究人员Snyder的介绍,Firefox火狐的一个新漏洞有可能被攻击者利用,以便于在实施一次更加残酷而彻底的攻击之前对用户的系统进行侦察。
在对漏洞报告做出回应时,Mozilla的首席安全长官Snyder说,这个缺陷存在于浏览器的chrome协议中;“chrome”是火狐狸用于用户接口的一个术语。
Snyder说,访问一个用户的机器可以通过包括在普通文件结构的许多Firefox扩展而不是仅通过集中在单个Java档案文件或.jar文件的扩展实现。现在有一些流行的扩展,包括下载状态栏(Download Statusbar)和Grease monkey,它们都使用一个普通文件结构。Snyder在Mozilla的安全博客中说,“如果用户安装了一个‘普通的’附件就会处于风险之中。”
Snyder承认,通过引导用户访问一个经过装饰的Web页面,犯罪份子就可以嗅探出便于其发动更具有侵略性进攻的信息。“一个受访的攻击性页面能够从磁盘上的已知位置装载图片、脚本等”,她说。“攻击者可以利用这种方法来检测文件存在与否,这些文件可以向攻击者提供哪些应用程序已被安装的信息。这种信息可被用于扼要地展示针对不同攻击者的系统。”
不过根据其漏洞跟踪和管理站点的消息,Firefox的开发人员正着手开发一个补丁,但还未编制出修正代码。
同时,下载状态栏(Download Statusbar)和Grease monkey这两个扩展的作者已经更新了其文件,以阻止被利用其漏洞。Devon Johnson 在Bugzilla站点上说,“我刚发布了Download Statusbar 0.9.5.3的一个JARred版本。”
火狐狸的用户们还可以部署另外一个附件,即流行的NoScript以阻止漏洞被利用,不管安装了哪些扩展,也不管是否已经更新。Giorgio Maone 的报告指出,“它可以在同一个Bugzilla线程上阻止一些JavaScript的加载企图。”
虽然Snyder并不重视由此漏洞所造成的威胁,不过发现这种漏洞的研究人员Gerry Eisenhauer说,问题有可能更为严重。他说,“这看起来很有趣并有可能成为潜在的更大威胁,”他在最初的描述中这样写道,“不过现在也就是信息泄漏问题。”
【责任编辑 陈东方】
