J漾諸事會社

http://it.rising.com.cn/Channels/Info/Securty/2007-07-12/1184220489d43282.shtml

安全專家稱 火狐與IE流覽器同時使用存在安全危險

來源：賽迪網 時間：2007-07-12 14:07:35

　　2007年7月12日消息，把IE和火狐流覽器安裝到一個系統上使用可引起零日攻擊的危險。研究人員對於這個問題應該由微軟負責還是由Mozilla負責意見不一。

　　據國外網站報導，Mozilla正在研製補丁，修復影響到火狐流覽器和微軟IE流覽器的一個非常嚴重的安全性漏洞。

　　在網路上對於這個問題應該由微軟負責還是由Mozilla負責還存在分歧的同時，Mozilla負責安全的官員Window Snyder表示，他們將認真對待這個問題。她說，Mozilla相信縱深防禦並且將在即將推出的火狐2.0.0.5版中修復這個漏洞以便緩解這個問題。但是，這並不能阻止IE向火狐發送惡意程式碼。

　　安全研究人員Thor Larholm把這個安全性漏洞稱作IE流覽器的輸入驗證安全性漏洞。他說，這個安全性漏洞與他早些時候在蘋果Safari第三測試版中發現的安全性漏洞是一樣的。

　　他解釋說，當安裝火狐流覽器的時候，它註冊一個URL協議控制器。當IE流覽器遇到火狐URL方案中的內容參考的時候，它就調用具有EXE圖像路徑的ShellExecute程式，並且沒有輸入任何驗證資訊就把整個URL請求發送出去。

　　這就意味著如果有人使用IE訪問一個設法調用火狐URL的網頁，微軟流覽器將沒有任何提示啟動火狐流覽器並且把這個URL發送給火狐流覽器。Mozilla稱，這兩個流覽器都不審查這個URL。這將允許攻擊者讓火狐流覽器執行惡意的JavaScript代碼。

　　微軟發言人稱，微軟全面調查了IE流覽器存在安全性漏洞的說法，發現這並不是微軟產品中的漏洞。

　　Snyder稱，單獨使用火狐狸覽器不會引起這個問題。她說，重要的是需要指出，如果你使用火狐流覽器訪問一個網頁，你不會受到這種攻擊。