单是Firefox的主程序,也许不能给你太多网络冲浪的精彩体验,但是如果给你的Firefox装上插件,感觉就大不相同了。不过,事物总是有两面性的,插件可以给你帮助,也能带来麻烦。
印第安纳大学的研究员Christopher Soghoian声称他发现了Firefox一个不常见的漏洞,这个漏洞可能会影响到Google工具栏、Facebook工具栏甚至反钓鱼工具栏。
据他所说,黑客们可以用一种中间人攻击模式“哄骗”这些插件,让他们不是升级,而是去下载恶意软件。Soghoian同时也提供了解决办法,那就是用SSL来配置插件升级行为。
虽然目前这个漏洞并不算太大的问题,不过Soghoian还是认为Firefox的code-signing功能具有局限性,特别是已经经过认证的插件,在升级的时候容易被利用。Firefox开发者将对这个漏洞采取一些相关措施,例如发布一个安全通告,告知用户采用SSL来配置插件升级的重要性等。
