火狐浏览器3攻击代码公布

leel

文章来源:   中国计算机安全
国外媒体报道，火狐(Firefox)浏览器开发商Mozilla周五表示，由于本周三有人在网上公布了一段针对火狐漏洞的攻击代码，Mozilla开发人员已紧急开发出了相应补丁程序，并于周五发布了火狐3的升级版，即由目前的3.0.7版升级到3.0.8版。

　　据悉，第三方安全研究人员吉多·兰迪(GuidoLandi)周三在数家网站上公布了火狐3浏览器存在的一个漏洞，同时发布了相应攻击代码，迫使火狐开发人员紧急开发出相应补丁程序。Mozilla称，利用这些安全漏洞网络攻击者可在用户机器上运行未经授权的软件。

　　Mozilla周三曾表示，将于下周某个时间发布火狐3的升级版，以修补最新被曝光的漏洞但Mozilla开发人员加快了开发进度，已于两天内完成了补丁程序的开发，因此于本周五提前发布火狐3.0.8版。

　　此外，在上周三于加拿大温哥华市举行的2009年全球黑客大赛上，一名来自德国、自称“Nils”的参赛选手先后找出了微软IE8、苹果Safari和Mozilla火狐三款浏览器中各存在的一个漏洞。大赛主办方称，将把这些漏洞分别反馈给苹果、微软和Mozilla。Mozilla称，火狐3.0.8版也修补了Nils找出的相应漏洞

　　Mozilla表示，兰迪和Nils所发现的上述两个火狐漏洞危害级别都是“危急”。据悉，兰迪所曝光火狐可影响到Windows、MacOS和Linux操作系统的火狐用户。

　　根据行业惯例，如果第三方安全研究人员发现了某款产品存在安全漏洞，一般会事先通知相应软件开发商，在相应补丁程序发布后，漏洞发现者才会对外公布的详情。

　　Mozilla周五还表示，将于4月21日发布火狐3下一个升级版3.0.9。

　　昨日firefox3.0.8发布时，现有Firefox3.0.7的用户还不能通过自动更新升级到最新版本，而今天已经可以自动更新


Firefox memory corruption PoC/DoS in XUL (XML) parser


http://milw0rm.com/sploits/2009-Firefox-XUL-0day-PoC.rar

wangxinze

有漏洞才有技术的进步嘛