U.S.-CERT指出Firefox新版可执行恶意代码

　　【赛迪网讯】美国计算机紧急安全救援小组（CERT）周三发布警告，Firefox的漏洞能让验证码病毒（proof-of-concept）快速传播。

　　据外电报道，按一位美国计算机紧急安全救援小组的一位顾问的说法，该漏洞可能导致内存崩溃出错。

　　另外一位安全小组顾问说，Firefox不能完全控制JavaScript "onUnload" 漏洞，攻击者能远程执行任意代码，导致内存崩溃。这一点还没有实际被利用的事例。

　　“Firefox 2.0.0.2更新包主要解决hostname漏洞、cookie漏洞、内存崩溃漏洞 ，”Mozilla的首席安全官Window Snyder写了一封电邮给InformationWeek，“为了安全，我们强烈要求所有的Firefox用户更新到最新版本。”

　　JavaScript onUnload 漏洞让攻击者可以构建一个恶意 Html 文件，执行特定的 JavaScript 命令使Firefox 崩溃。根据美安全小组建议，用户更新到Firefox 2.0.0.2后，禁用JavaScript等待新的更新补丁包出现为好。

　　作者：云雀