Firefox瑕疵升高網釣疑慮

安全專家警告，開放原始碼瀏覽器Firefox出現一種安全漏洞，可能導致使用者陷入網路釣魚（phishing）的陷阱。

資安公司Secunia周二（4日）公布Mozilla Firefox 1.0版的安全瑕疵細節。據指出，此弱點可能讓駭客在下載對話框裡的URL位址動手腳，以假亂真。使用者試圖自某網站做下載動作時，對話框即彈出。由於對話框裡的子網域與路徑的顯示不正確，會造成安全性露出破綻，給駭客趁機隱藏實際下載網址的機會。

軟體公司F-Secure防毒研究經理Mikko Hypponen說，新發現的漏洞可能害Firefox使用者遭網路惡徒欺騙。他說：「我們認為，此弱點最可能被利用來從事網路釣魚詐財。」

但要誘使受害者上當，駭客必須唆使Firefox使用者點閱電子郵件裡所附的連結，把他們帶往看似合法但實為仿冒的網站，然後從該網站下載惡意程式。

Secunia把這項安全瑕疵的嚴重程度評為五級中的第二級。

防毒公司Kaspersky Labs資深技術顧問David Emm則認為，網釣客不大可能利用Firefox這個瑕疵作亂，因為微軟的Internet Explorer仍是瀏覽器市場的主流。

「我認為，駭客不至於急著利用這種弱點，」Emm說：「畢竟Firefox的安裝率遠比IE來得小。駭客可能繼續把注意力擺在IE上。」

但過去數月來，Firefox已吸引民眾的注意力，久而久之可能造成未來局勢的改觀。

一項於去年11月底所做的市場調查報告發現，以Mozilla技術為基礎的軟體，包括Firefox在內，在11月份的瀏覽器市場拿下7.4%的占有率，比5月時的市占率上升5%。

已證實含有下載弱點的瀏覽器包括：Mozilla 1.7.3 for Linux、Mozilla 1.7.5 for Windows，以及Mozilla Firefox 1.0.。目前尚未有可得的修補程式，但Mozilla程式開發者可望在即將推出的最新版產品修補此瑕疵。

Secunia的安全通告和Mozilla的除錯報告皆可上網瀏覽。（唐慧文）
http://taiwan.cnet.com/news/software/0,2000064574,20095550,00.htm

基本上，只是"下載"的對話框...而起有點假
https://bugzilla.mozilla.org/show_bug.cgi?id=275417
我問你，這種情況下你會被"釣"嗎？

但要誘使受害者上當，駭客必須唆使Firefox使用者點閱電子郵件裡所附的連結，把他們帶往看似合法但實為仿冒的網站，然後從該網站下載惡意程式。

這句話可能是媒體加的吧!

這是屬於無義意文章那一類的

天啊~~ 這次換FF要輻射外洩了

我一直有些疑問，FF安全性高是不是因為少人用，所以hacker的注意力都放在IE上。

當越來越多人轉到FF上時，FF的BUG和陷阱也會隨之增加。

對hacker而言 對開放原始碼的東西下手沒有什麼挑戰性

不，是指漏洞能覆蓋的危險性。Firefox沒有ActiveX這個能連接Windows系統任何服務的通道。儘管出現漏洞，也不會影響到系統本身。你可說這是是ActiveX過於「強大」而致，但所謂的「強大」是指自行執行未經使用者許可的程式……

任何軟體都有漏洞，關鍵在於開發人員能否及時修正，和使用者能否及時修補而已。

我想這句話可能有點疑慮，但不能不承認可能會比較方便些。

Firefox 應該也是有人在看才對，Firefox知名度愈來愈高啦......

所以不打算做防犯嗎?

並不是這麼說的，就到目前的紀錄來看，
Mozilla / Firefox在漏洞修補的速度上是很快的，
所以並非放著讓它爛...

其實微軟當初的IE也有此問題，但後來解決了！？

所以就是半斤八兩
兩者一樣差勁！？

no software is prefect
but Mozilla/Firefox is inheritantly more secured
this is due to better design

8) 8) 8)

是相對安全!? 抑或是絕對安全!?

那麼這個漏洞的修補已經出來了嗎
要到哪裏下載呢