此一更新肇因於蘋果尚未修補的QuickTime漏洞,研究人員Petko D. Petkov上周公布QuickTime漏洞的概念性驗證程式,並指出該漏洞會影響Firefox。
Mozilla周二(9/18)發表Firefox 2.0.0.7版,刪去Firefox中自命令列執行任意程式的功能,以避免受到蘋果QuickTime漏洞的影響。
此一更新肇因於蘋果尚未修補的QuickTime漏洞,研究人員Petko D. Petkov上周在部落格中公布QuickTime漏洞的概念性驗證程式,並指出該漏洞會影響Firefox。Mozilla安全長Window Snyder在同一天就作出了回應,證實當使用者透過Firefox執行QuickTime惡意媒體檔案時,駭客就可能利用QuickTime中的漏洞危害Firefox或是使用者電腦。
Window Snyder說,由Petko D. Petkov所提供的概念性驗證程式很容易就能轉成攻擊程式,因此使用者應要正視此一問題。
Mozilla在安全報告中指出,QuickTime的漏洞可能讓視窗作業系統執行具備命令列功能的預設瀏覽器,如果使用者預設的瀏覽器是Firefox 2.0.0.6或更早的版本,駭客就可能取得使用者權限,進而安裝惡意程式、竊取電腦資料,或是損毀使用者系統。
更多文章:趨勢科技最新八月份資安威脅報告出爐
Mozilla的更新在該漏洞概念性驗證程式現身的6天內就出爐,Window Snyder指出,當業者快速修補安全漏洞時,就降低了駭客花時間去建置及部署攻擊程式的意願。Window Snyder也特別感謝以個人身份對修補此漏洞提供協助的蘋果員工。
Petko D. Petkov說,早在去年他就揭露了兩個重要的QuickTime漏洞,其中一個已被修補,另一個則完全被忽略,他曾經不止一次強調該漏洞的重要,但卻無人理會,因此,他決定公開展示一個被視為低風險的漏洞也能很輕易地變成高度威脅的攻擊。
雖然是由QuickTime所引發,但目前蘋果尚未針對此事發表官方聲明。(文:資安之眼)