有两位安装研究人员表示,虽然Firefox早在7月就已经对协议处理的bug进行了两度修复,但它仍然容易被攻击。
这两位安全研究人员分别是Billy Rios和Nate McFeters,他们曾在8月中旬发现Windows的URI协议存在设计与功能上的隐患;他们表示已经发现另外的途径来利用Firefox发送恶意代码给用户。
Rios在其博客上表示,URI负载还是可以通过mailto、nntp、news和snews的URI来进行传递,并且可以不需用户的干预。他表示,虽然Firefox 2.0.0.5已经解决了允许远程命令执行的安全问题,但是问题核心的底层文件类型处理问题仍然没有得到解决。
目前还没有出现利用这个漏洞的攻击代码,而Mozilla还没对此事作出评论。
这两位安全研究人员分别是Billy Rios和Nate McFeters,他们曾在8月中旬发现Windows的URI协议存在设计与功能上的隐患;他们表示已经发现另外的途径来利用Firefox发送恶意代码给用户。
Rios在其博客上表示,URI负载还是可以通过mailto、nntp、news和snews的URI来进行传递,并且可以不需用户的干预。他表示,虽然Firefox 2.0.0.5已经解决了允许远程命令执行的安全问题,但是问题核心的底层文件类型处理问题仍然没有得到解决。
目前还没有出现利用这个漏洞的攻击代码,而Mozilla还没对此事作出评论。
