資訊安全網站PacketStormSecurity.org在本周公布了針對Firefox 1.5瀏覽器漏洞所寫出的概念驗證程式,可造成Firefox緩衝區溢位,之後便無法再開啟Firefox。但開發Firefox的Mozilla基金會則表示這只是一個惹人厭的臭蟲,而非什麼嚴重漏洞。
PacketStormSecurity.org網站上還警告,該驗證程式只是讓Firefox無法重新開啟,但若經過修改則可能執行其他攻擊。
這個攻擊碼已經被證實會對Windows XP SP2作業系統中的Firefox 1.5造成影響,肇因於Firefox 1.5無法處理大量的歷史瀏覽資料。駭客只要能夠讓使用者造訪特定網站,就能填滿使用者Firefox 1.5中專門儲存歷史資料的history.dat檔,造成緩衝區溢位,導致使用者無法執行Firefox 1.5,除非手動將該檔案刪除。
Mozilla基金會工程部副總裁Mike Schroepfer表示,初步的調查顯示該概念驗證程式無法被改寫成其他更具威脅性的攻擊程式。他指出,該警告是沒有依據的,因為目前並未得到任何內部或外來的報告指出這驗證程式有可能造成阻斷式服務攻擊(denial-of-service;DOS)以外的更大傷害。
資訊安全業者Secunia支持Mozilla的論點,將該瑕疵評為「不嚴重」(not critical)等級。
另外,Secunia也建議Firefox 1.5的使用者直接移除history.dat,或是在瀏覽器內設定在每次關閉瀏覽器之後就自動清除歷史資料,就能解決該問題。(編譯/陳曉莉)
熱門新聞
2026-02-02
2026-02-03
2026-02-04
2026-02-02
2026-02-04
2026-02-03
Advertisement