MozTW 討論區

各項 Mozilla 相關軟體與技術討論
現在的時間是 2025-08-23, 14:37

所有顯示的時間為 UTC + 8 小時





發表新文章 回覆主題  [ 2 篇文章 ] 
發表人 內容
文章發表於 : 2006-10-05, 16:22 
離線

註冊時間: 2006-10-05, 16:07
文章: 5
日前宣稱已發現Firefox一項嚴重零時差漏洞的駭客突然改口,承認自己從未能利用該漏洞挾持電腦。

上週六(30日),Mischa Spiegelmock與Andrew Wbeelsoi在聖地亞哥舉行的ToorCon會議中表示,Firefox處理JavaScript的方式有嚴重瑕疵,攻擊者只要製作內含惡意 JavaScript源代碼的網頁,就能挾持受害主機。他們也展示部分的攻擊程式。

但Spiegelmock決定撤回之前的說法。在發給Firefox開發協調單位Mozilla的聲明中,Spiegelmock說會中展示的攻擊程式無法完全損害使用該瀏覽器的電腦。

他的聲明公佈在Mozilla網站,當中寫道:“除了當機和佔據系統資源外,我從未成功地讓這組程式造成任何傷害,而我絕對沒有用它去挾持任何人的電腦,和執行強製程序代碼。”

Spiegelmock 表示:“我們發佈的主要目的是好玩,我向所有相關的人道歉,希望我已經盡可能地澄清每件事。”至於他們宣稱還知道30個尚未修補的Firefox漏洞, Spiegelmock完全推給另一位駭客Wbeelsoi:“我沒有未揭露的Firefox漏洞,和我一起發言的人這麼說,而我真的不知道他到底有沒有。”記者尚未聯繫到Wbeelsoi。

Mozilla安全負責人Window Snyder 3日表示,他們在ToorCon的發言引起Firefox開發社區騷動,大家利用整個週末調查這個問題。Mozilla的錯誤追蹤網站展示出若干證據。

她說:“此刻Mischa正與我們合作,我們很欣慰他決定加入我們,但我們很失望有這麼多人為此忙亂。這是一次昂貴的行動,有鋻於投入的資源,和許多犧牲週末家庭時間的人。”

Snyder說,根據Spiegelmock提供的資訊,這個問題仍可能是個嚴重瑕疵,但目前看來像是無害的當機她表示:“我們有一個潛在問題,但目前,基本上還是可靠度的問題。我們還無法證明源代碼執行。”

Spiegelmock在聲明中寫道,這次的發佈包括“一個之前已知的Firefox漏洞。”然而Snyder說,這兩個問題只是類似,但不一樣。

她說:“他們發佈的是潛在的漏洞。每次碰到當機你都需要完整地調查,以評估是否有任何安全上的影響。我們尚未排除所有選項,所以我們會繼續調查…Firefox使用者應該保持謹慎,且不要忽略任何事。”

另一位安全專家表示,這個問題只會造成Firefox當機。抓錯專家Tom Ferris表示:“他們發佈的只是一個記憶體不足當機錯誤,不是安全漏洞。顯然地,這兩個人只想嚇嚇媒體和ToorCon的與會者。”

Snyder不確定Mozilla是否會就此單獨發佈修補程式,或在未來的版本處理。她說:“現在還不確定,這還需要進一步調查。”

來源:CNET科技資訊網 2006/10/4


回頂端
Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-TW; rv:1.8.0.7) Gecko/20060916 Firefox/1.5.0.7 (pigfoot)
 個人資料  
引用回覆  
 文章主題 :
文章發表於 : 2006-10-07, 12:09 
離線

註冊時間: 2002-11-14, 10:09
文章: 735
來自: 昨日東風
1. 轉貼請用摘要的方式。
2. 這新聞先前就發布過了,結果根本不能達到駭入的效果,只能讓Fx當掉。

_________________
I use 圖檔.


回頂端
Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-TW; rv:1.8.1) Gecko/20061003 Firefox/2.0
 個人資料  
引用回覆  
顯示文章 :  排序  
發表新文章 回覆主題  [ 2 篇文章 ] 

所有顯示的時間為 UTC + 8 小時


誰在線上

正在瀏覽這個版面的使用者:沒有註冊會員 和 10 位訪客


不能 在這個版面發表主題
不能 在這個版面回覆主題
不能 在這個版面編輯您的文章
不能 在這個版面刪除您的文章
不能 在這個版面上傳附加檔案

搜尋:
前往 :  
Powered by phpBB® Forum Software © phpBB Group
正體中文語系由 竹貓星球 維護製作
© moztw.org, Mozilla Foundation
MozTW,Mozilla 台灣社群