一名印地安那大學資訊所博士班學生Christopher Soghoian上周在部落格中揭露了Firefox附加程式潛藏了遠端攻擊漏洞,其中受影響的包括Google在內的各式工具列(toolbar)程式。
Christopher Soghoian說明,Firefox提供一些讓其他業者可以開發在該瀏覽器上執行應用程式的功能,例如附加程式。同時,Firefox也有一個更新機制,讓這些附加程式連結到網路伺服器上檢視是否有更新版,當發現更新版時,一般而言,附加程式會詢問使用者是否要進行更新,並下載與安裝新的程式碼。
而這個可能受到攻擊的漏洞就存在該更新機制中,主要是因為有些第三方業者的程式更新伺服器並沒有採用SSL加密技術,因此可以讓駭客利用來散布惡意程式。令此一漏洞更為嚴重的問題是,部份業者例如Google甚至關閉了詢問使用者是否更新的功能,更加讓駭客可以在使用者不知情的狀況下下載並安裝惡意程式。
Christopher Soghoian指出,駭客可能透過「中間人」(man in the middle attack)的攻擊手法來攻擊此漏洞,駭客必須先讓電腦相信該更新伺服器是正牌的,然後讓電腦下載並安裝惡意程式。
Christopher Soghoian還點名了眾多知名但具有危險性的Firefox附加程式,包括Google Toolbar、Google Browser Sync、Yahoo Toolbar、Del.icio.us Extension、Facebook Toolbar、AOL Toolbar、Ask.com Toolbar、LinkedIn Browser Toolbar、Netcraft Anti-Phishing Toolbar及PhishTank SiteChecker等。Christopher Soghoian說,其實有漏洞的附加程式更多,但族繁不及備載。
一般而言,未經SSL技術保護的伺服器網域名稱開頭為http://,而採用SSL技術的則會顯示出https://,若第三方業者的更新伺服器上未採用SSL技術,那麼,當使用者在公開且未加密的無線網路中、或是使用者家中的路由器曾透過網址嫁接(pharming)被駭,都有可能受到攻擊。
Christopher Soghoian建議業者可以把自己的附加程式透過Mozilla的安全下載網站傳送給使用者,使用者也可以先移除非來自Mozilla官方或安全網站的附加程式,再重新自Mozilla官方網站下載。
Christopher Soghoian在今年4月發現此漏洞時,就曾經將其研究提供給相關業者,其中,Google表示會在5月底前修補該漏洞。(編譯/陳曉莉)
熱門新聞
2025-12-31
2025-12-31
2025-12-31
2025-12-31
2025-12-31
2025-12-31