Firefox 3.0.7 发布,修补 8 处安全漏洞

Mozilla 在美国时间 3 月 4 日发布了 Firefox(火狐)3.0.7 版。此版本至少修补了 8 处的安全漏洞,其中一部分的严重程度为最高。

Mozilla 在连续的安全通告中警告说,此次修补的漏洞中最严重的是,在通常的浏览时可以跳过用户的必要的操作,直接实行攻击者的代码,并且将安装攻击者指定的软件。

以下为此次 Firefox 修补漏洞的列表概要。

    • MFSA 2009-11(重要度:低):用于伪装不可视控制的 URL。Masahiro Yamada 报告说,在特定的不可视控制的文字,可以被解析本地状态栏中显示的结果。攻击者可以利用此漏洞,伪装本地栏,欺骗用户访问自己的恶意 Web 站点。
    • MFSA 2009-10(重要度:最高):更新 PNG 库中的内存安全性问题。libpng 的维护者 Glenn Randers-Pehrson 报告说,Mozilla 使用的 PNG 库中存在着一些内存安全性的问题。攻击者可以利用此漏洞,使得访问者的浏览器崩溃,潜在地可以执行其计算机上的任意代码。libpng 已经更新了此漏洞的修补版本。
    • MFSA 2009-09(重要度:高):通过 RDFXMLDataSource 与跨域重链接读取 XML 数据。Georgi Guninski 报告说,通过 nsIRDFService 与跨域重链接的方式,可以违反 Web 站点同一生成原隐私策略,读取其他域名中的任意 XML 数据。此漏洞将允许恶意 Web 站点,通过重定向到其他站点,盗取已登陆用户的个人信息。
    • MFSA 2009-08(重要度:最高):与 Mozilla Firefox 链接的 XUL 复制要素的 Double Free 漏洞。通过 TippingPoint 公司的 Zero Day Initiative 计划的匿名研究者的报告说,Mozilla 的碎片收集处理中存在漏洞。此漏洞,由于对于链接为父子关系的一连被复制的 XUL DOM 要素的不适当的内存管理而引起的。再次打开由此方式形式链接的要素的页面时,浏览器在再次访问被丢弃的目标时发生崩溃。攻击者可以利用此漏洞,执行计算机上的任意代码。
    • MFSA 2009-07(重要度:最高):跟踪内存破坏的崩溃。修补了 4 个已发现的通过内存破坏可能造成浏览器崩溃的漏洞。