Mozilla釋出Firefox 3.6.2 修補重大安全漏洞

Mozilla於本周一（3/22）釋出Firefox 3.6.2，該版本改善了產品穩定度並進行多項安全更新，包括修補一個可能引發遠端程式攻擊的零時差漏洞。

根據Mozilla的說明，該重大漏洞是因開放字型（Web Open Font Format，WOFF）解碼器在字型解壓縮路徑中含有一個整數溢位漏洞，進而使得要存放下載字型的記憶體緩衝區太小，讓駭客得以利用該漏洞讓瀏覽器當掉並在使用者系統上執行任意程式。

這是一個零時差攻擊漏洞，因為俄國安全研究人員Evgeny Legerov早在今年2月便公開了該漏洞及相關的攻擊程式，當時資安業者Secunia亦將其列為高度風險漏洞，德國電腦緊急回應中心BurgerCERT也曾因為該漏洞而建議使用者避免使用Firefox。

Mozilla提早釋出了原本要在3月30日才發表的Firefox 3.6.2，並強烈建議使用者升級到最新版以策安全，使用者會在兩天內收到自動更新通知，亦可手動檢查是否有更新程式。

此外，由於造成安全漏洞的WOFF下載字型是Firefox 3.6版才新增的功能，因此舊版的Firefox並未受到該漏洞的影響。（編譯/陳曉莉）