安全公司公开Firefox1.5漏洞验证性攻击代码

http://www.sina.com.cn 2005年12月09日 05:18 赛迪网

　　作者:云雀

　　【赛迪网讯】12月9日消息开源浏览器Firefox(火狐)最新版本存在的几处漏洞被证实可以招致“拒绝服务”式攻击，验证性攻击代码周三在网上披露。

　　该攻击代码(exploit code)针对运行在安装有Service Pack 2(微软补丁包)的XP操

<SCRIPT LANGUAGE="JavaScript1.1" SRC="http://204.adsina.allyes.com/main/adfshow?user=AFP6_for_SINA|tech|techPIP&db=sina&local=yes&js=on"></SCRIPT> <NOSCRIPT><A HREF="http://204.adsina.allyes.com/main/adfclick?user=AFP6_for_SINA|tech|techPIP&db=sina"><IMG SRC="http://204.adsina.allyes.com/main/adfshow?user=AFP6_for_SINA|tech|techPIP&db=sina" WIDTH=360 HEIGHT=300 BORDER=0></a></NOSCRIPT>

作系统上的最新发布的Firefox 1.5。Firefox一年前首次发布，并迅速取得了8%的市占率。

　　据网络安全公司“因特网风暴中心”发布的消息，最新发现的Firefox漏洞存在于history.dat文件中，该文件用来存储使用Firefox 1.5浏览器曾访问过的网站上的信息。

　　“如果一个网页的标题设计的过长，每一次访此类网站时Firefox就会自动失去功能，”因特网风暴中心发布的消息称，“如果发生这种情况，除非你手动删除history.dat文件，Firefox将不能再被启用。”

　　最初发布这个验证性攻击程序的安全公司Packet Storm指出，除了可能导致拒绝服务式攻击外，用户的系统还可能执行恶意代码。

　　据因特网风暴中心称，“如果网页主题设计的比验证性攻击程序更高明些，就可能发生更为恶意的攻击，它可能会在用户的电脑上安装恶意软件。”

　　目前还没有针对该漏洞的补丁。安全专家建议，

　　在新补丁出现之前，Firefox用户最好关闭history.dat功能。