Mischa Spiegelmock和Andrew Wbeelsoi在ToorCon黑客会议上表示,攻击者只要制作一个内含若干恶意JavaScript源代码的网页,便可通过Firefox控制远端电脑。该漏洞影响Windows、苹果Mac OS X和Linux各版的Firefox。
在博客公司SixApart担任正职的Spiegelmock表示:“大家都知道,IE不怎么安全,但Firefox也非常不保险。”他详细说明该漏洞,展示相关攻击码的各个重要部分。
问题主要出在Firefox执行JavaScript指令语言的方式。Spiegelmock表示,尤其是有不同的程序编写技巧能造成stack overflow错误。他说,Firefox的执行是“一团混乱…根本不可能修补”。
看过当天会场的录影后,Mozilla安全主管Window Snyder承认,JavaScript问题是个真正的弱点。她说:“他们所说的可能是一种旧型攻击的变种,我们会进行一些调查。”
Snyder不乐见这么明显的威胁在会议上大肆曝光,她说:“看来他们拥有足够的信息让攻击者复制。我认为这是不幸的,因为使用者会陷入危险,而那似乎是他们的目的。”
另一方面,他们的说明或许也给Mozilla足够的信息修补该漏洞。然而,由于问题出在JavaScript,解决方法可能比一般性的修补困难。
Snyder说:“如果问题出在JavaScript虚拟器,就无法很快解决。”两名黑客宣称他们知道约30个Firefox漏洞,但不打算公布。
参加该会议的Mozilla安全职员Jesse Ruderman,曾尝试上台说服两名黑客以负责任的方式揭露安全漏洞,也就是通过Mozilla的抓错奖金计划,而非恶意地帮助疆尸网络的建立。
Ruderman说:“我真心希望你们改变主意,把漏洞通报我们然后领取500美元奖金,而不是用它们建立疆尸网络。”
两名黑客对这种笑置之,Wbeelsoi说:“这是一把双面刃,但我们所做的对整个网络有更大的好处,我们要为黑帽建立通讯网络。”
(责任编辑:A6)