Mozilla修補Firefox及Thunderbird重大漏洞

Mozilla在上周四（9/14）分別修補了旗下瀏覽器Firefox及電子郵件軟體Thunderbird總計13個漏洞。

Mozilla在上周釋出的Firefox更新版本為Firefox 1.5.0.7，7個漏洞中有4個被開放原始碼開發人員列為重大（Critical）漏洞，兩個被列為一般（Moderate）漏洞，另一個則被列為重要（Important）漏洞。不過Mozilla發出聲明稿指出，這四個重大漏洞皆尚未受到攻擊，也不確定這些漏洞能否遭利用，不過還是應該進行修補。

Mozilla新任安全長 Window Snyder在上周指出，Mozilla的開發人員尚不確定是否所有可能被攻擊的臭蟲都會進行修補。但是他們假設這些重大漏洞中可能會有一些可被駭客利用並因此在使用者系統上執行任意程式。

位於丹麥的資安業者Secunia將Firefox此次的修補行動視為非常重大（Highly critical）的更新，屬Secunia風險等級中的第二名。Secunia認為，Firefox的這些漏洞可能遭利用並進行攔截式攻擊（man-in-the-middle）、交錯式描述性語言攻擊（cross-site scripting attacks），或是詐欺攻擊，有危害使用者系統的可能。

根據研究機構OneStat.com的調查，Firefox瀏覽器的市佔率已達13%，這也使得過去鎖定瀏覽器龍頭IE的攻擊行動可能逐漸移轉到Firefox。

Mozilla在上周也發表了Thunderbird 1.5.0.7更新版本，修補了6個漏洞，其中有兩個漏洞被列為重大等級。

這些藏在Thunderbird中的漏洞可能導致攔截式攻擊、穿透安全限制並造成危害系統的攻擊。

Mozilla警告，即使Thunderbird關閉JavaScript功能，在電子郵件遠端的XBL檔案中的描述性程式依然能夠執行。

Mozilla的SeaMonkey套件也有高度重大更新，以修補那些可造成阻斷式服務攻擊、詐騙及系統存取等漏洞。

新的Firefox 1.5.0.7及Thunderbird 1.5.0.7版本皆可自Mozilla進行下載，現有的用戶則可透過瀏覽器或電子郵件的更新與自動更新機制修補這些漏洞，這些更新程式支援37種語言的Windows、Mac OS X及Linux。（編譯/陳曉莉）