| MozTW 討論區 https://forum.moztw.org/ |
|
| 兩名電腦駭客30日宣稱,開放原始碼Firefox瀏覽器處理JavaScript的方式 https://forum.moztw.org/viewtopic.php?f=22&t=15753 |
第 1 頁 (共 1 頁) |
| 發表人: | spiv [ 2006-10-02, 23:36 ] |
| 文章主題 : | 兩名電腦駭客30日宣稱,開放原始碼Firefox瀏覽器處理JavaScript的方式 |
http://taiwan.cnet.com/news/software/0, ... 084,00.htm Mischa Spiegelmock和Andrew Wbeelsoi在ToorCon駭客會議上表示,攻擊者只要製作一個內含若干惡意JavaScript程式碼的網頁,便可透過Firefox控制遠端電腦。該漏洞影響Windows、蘋果Mac OS X和Linux各版的Firefox。 在部落格公司SixApart擔任正職的Spiegelmock表示:「大家都知道,IE不怎麼安全,但Firefox也非常不保險。」他詳細說明該漏洞,展示相關攻擊碼的各個重要部分。 問題主要出在Firefox執行JavaScript指令語言的方式。Spiegelmock表示,尤其是有不同的程式編寫技巧能造成stack overflow錯誤。他說,Firefox的執行是「一團混亂…根本不可能修補」。 看過當天會場的錄影后,Mozilla安全主管Window Snyder承認,JavaScript問題是個真正的弱點。她說:「他們所說的可能是一種舊型攻擊的變種,我們會進行一些調查。」 Snyder不樂見這麼明顯的威脅在會議上大肆曝光,她說:「看來他們擁有足夠的訊息讓攻擊者複製。我認為這是不幸的,因為使用者會陷入危險,而那似乎是他們的目的。」 另一方面,他們的說明或許也給Mozilla足夠的資料修補該漏洞。然而,由於問題出在JavaScript,解決方法可能比一般性的修補困難。Snyder說:「如果問題出在JavaScript虛擬器,就無法很快解決。」兩名駭客宣稱他們知道約30個Firefox漏洞,但不打算公佈。 參加該會議的Mozilla安全職員Jesse Ruderman,曾嘗試上台說服兩名駭客以負責任的方式揭露安全漏洞,也就是透過Mozilla的抓錯獎金計畫,而非惡意地幫助疆屍網路的建立。Ruderman說:「我真心希望你們改變主意,把漏洞通報我們然後領取500美元獎金,而不是用它們建立疆屍網路。」 兩名駭客對此一笑置之,Wbeelsoi說:「這是一把雙面刃,但我們所做的對整個網路有更大的好處,我們要為黑帽建立通訊網路。」(陳智文/譯) |
|
| 發表人: | 訪客 [ 2006-10-03, 00:55 ] |
| 文章主題 : | |
謝謝你幫忙轉載這篇新聞。不過我們習慣上比較不傾向全文轉錄,而只附上新聞標題、鏈結、以及重點摘要,如此一來比較不會有著作權方面的問題。 |
|
| 發表人: | zizai [ 2006-10-03, 02:52 ] |
| 文章主題 : | |
而且,有另一位網友早一步發佈了。「討論15750」 |
|
| 第 1 頁 (共 1 頁) | 所有顯示的時間為 UTC + 8 小時 |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|