Mozilla將修補Firefox的老舊漏洞

Mozilla 宣布將修補今年2月就被揭露的Firefox老舊漏洞，原因是這個當初不被認為重要的漏洞，現已出現攻擊程式，而且情況比想像中嚴重。

該漏洞出現在Firefox的jar:通訊協定，該通訊協定並未限制Java檔案，而且可開啟任何的壓縮檔案，因此駭客可以上傳壓縮檔案到被信任的網站上，當使用者在惡意網站上點選連結，或是在信賴的網站上選擇電子郵件中的惡意連結，都可能讓駭客取得使用者存在網站上的資訊。

該漏洞是在今年2月由Jesse Ruderman所揭露，而知名的安全研究人員Petko D. Petkov在11月7日重申該漏洞的重要性，並指出一旦惡意的壓縮檔案被上傳或連結，駭客就能進行跨站攻擊，他發現包括Google及微軟等許多重量級的軟體都可能被影響。

而beford.org隨後即公開概念驗證程式，透過該漏洞以及Gmail裡頭開放的轉向漏洞展示如何存取使用者在Gmail中的連絡人名單。

Mozilla表示，目前正在測試最新的Firefox 2.0.0.10版以解決該漏洞，包括更新驗證連結的檔案格式以及確認內容來源網站的能力。（編譯/陳曉莉）