Mozilla修复了Firefox7和Thunderbird3.15中的一些关键漏洞
Mozilla在流行的Firefox Web浏览器的最新版本中修复了八个已知的安全漏洞。Mozilla于发布后六周,还修复了Firefox 6中的跨站点脚本错误。根据Mozilla的安全公告,9月27日发布的Firefox 7包含针对Firefox中六个“严重”漏洞和两个“中等”漏洞的修复程序。Firefox 6 XSS漏洞被评为“高”。在Thunderbird 3.15电子邮件客户端中,还解决了另一个不同的Integer下溢问题,等级为“严重”。
如果漏洞可能被攻击者利用以在无需用户干预的情况下远程运行恶意代码并在计算机上安装软件,则Mozilla将该漏洞评为“严重”。
Sophos的高级技术顾问Graham Cluley在Naked Security博客上写道:“总之,如果不对Web浏览器进行修补,网络分子可能会利用此漏洞在计算机上安装恶意软件。”
四个重要补丁解决了Firefox和Thunderbird中的问题。它们使用OGG标头解决了使用后使用的情况,YARR正则表达式库中的可利用崩溃,带有Enter键的代码安装问题以及多个内存缺陷。该补丁同时适用于两种产品,可抵御由回车/换行(CRLF)注入攻击引起的多个Location标头。CRLF注入是一种应用程序攻击,它会插入回车符以修改记录和行。
Mozilla还从Google Chrome浏览器中进行了外观上的更改,以使用户更容易分辨网站是使用HTTP还是使用HTTPS。Firefox 7会在网站地址中隐藏“ http://”,因此用户只能看到该地址。如果将站点配置为使用HTTPS,则Firefox 7将显示完整的URL,从而在站点地址更改时为用户提供清晰的视觉提示。
至少有一个骗子试图利用对最新版本Firefox的强烈兴趣。Google搜索“ Firefox 7”时,在搜索结果页面上显示“ firefox7.org”。在官方下载网站是Mozilla.org。
据Cluley称,Firefox7.org将显示一个页面,其中包含有关新版本Web浏览器的一些促销信息。下载链接全部指向一个称为“ mozillas”的Google Blogspot页面。
“就像您可能已经猜到的那样,Firefox7.org不是由Mozilla运行的,” Cluely在Naked Security博客上写道。
该域名已在5月注册给了中国一个叫张晓娟的个人。有趣的是,虚假网站并未出现在必应搜索结果的首页上。
假网站目前不做任何事情,也没有托管任何恶意软件,但正如Cluley所言,“该网站可以随时更新”。有些页面包含Google Adwords,因此该网站有可能赚钱,尤其是考虑到该页面当前在Google搜索中的排名很高。
克鲁利说:“对于Mozilla来说,没有注册该域可以避免发生这种情况,这似乎很愚蠢。”
在其他更改中,Mozilla正在努力使Firefox成为记忆猪的声誉。根据Mozilla的开发人员Nicholas Nethercote的说法,Firefox 7可以比以前的版本使用最多50%的内存。