在相关安全媒体争辩了两周之久后,近日Mozilla官方终于承认了Firefox中存在和IE一样的高危漏洞。 Mozilla安全事务总监Window Snyder近日公开表示:“上周末,我们确认了Firefox也可能会当成侵入点的一种情况。在使用Firefox浏览网页时,一条被动过手脚的URL地址可能会被利用来传送有害的数据到其它应用程序。我们开初认为这只是IE的一个问题,不过现在看来,Firefox也遇到了同样的困扰。” 争论来源于两周前和IE和Firefox都有牵连的一个漏洞,丹麦研究员Thor Larholm首先发现了利用恶意RUL传输数据到其它程序的一个IE Bug,他认为Firefox的 "firefoxurl://"协议也存在同样问题。Larholm认为罪恶的根源在于IE,但其他一些安全机构的研究人员认为这是Firefox固有的缺陷。 问题发现之后,Mozilla发布了一个新版本2.0.0.5修复了和IE关联部分的漏洞。不过前微软安全专家Jesper Johansson认为漏洞并不仅仅存在于和IE相关的部分,他展示了如何通过一个恶意URL传输数据到其它应用程序的例子,其中包括即时通讯多账号登陆软件Trillian。他认为“Firefox和IE存在同样的缺陷,在协议操作方面Firefox没有例证证明自己摆脱了URL问题的困扰”。 Synder并没有完全认可Johansson的话,但她承认了这是Firefox浏览器的一个污点,她表示Mozilla已在2.0.0.5中修正了相关问题。她没有说明Mozilla什么时候会发布一个完整的补丁,不过来自Mozilla臭虫跟踪系统的消息证明这样的补丁已在开发过程中了。
