安全研究人員Thor Larholm在本周揭露了一個IE漏洞,駭客可能藉由該漏洞啟動使用者電腦上安裝的Firefox,並在Firefox中執行任意程式。
Mozilla的官方部落格中說明,當使用者透過IE瀏覽一個惡意網站並點選了一惡意連結,就可能透過IE中的命令列啟動其他的視窗應用程式,而且會將惡意資訊傳遞到其他視窗應用程式中,如果該惡意連結讓IE啟動的是Firefox,那麼駭客就能在遠端於Firefox中執行任意程式。
有趣的是,研究人員對於這究竟是屬於IE或是Firefox漏洞的看法不一。
Thor Larholm說,這是IE中的輸入識別漏洞;資安業者secunia則說這是Firefox漏洞,駭客只要透過一些參數設定就能啟動Firefox並執行任意程式,secunia並將此漏洞列為高度危險漏洞;另一位SecurityFocus的研究人員也認為這是IE漏洞。
在此一漏洞訊息被揭露後,Information Week引用微軟的回應指出,該公司已全面調查該名研究人員所宣稱的IE漏洞,但發現這並不是微軟產品的漏洞。
反之,Mozilla則打算要在下一版的Firefox2.0.0.5中修復此問題。此一模擬針對Firefox攻擊的發生在於使用者於電腦中同時安裝了IE及Firefox,因此,Mozilla強調,使用者如果利用Firefox瀏覽網路,並不會出現問題;Mozilla亦指出,IE的問題不只影響Firefox,其他視窗應用程式也可能受到波及。
Mozilla表示,之前蘋果旗下的Safari與Firefox間也曾出現類似的相互干擾事件,最後蘋果修復了該問題,但媒體報導顯示微軟並沒有意願修補。
secunia提出了幾項暫時性補救措施,一是建議使用者不要瀏覽不信任的網站,其次則是關閉Firefox URL的資源識別字串(Uniform Resource Identifier,URI)處理機制功能。
熱門新聞
2026-01-12
2026-01-12
2026-01-12
2026-01-12
2026-01-12
