I'n Blog 之萬象真藏

　　作者：BlackWing

　　據消息顯示，有兩位研究人員已經發現Firefox的URL處理器元件中的另外一個漏洞，並且他們已經把這個漏洞公布到網上。

　　這個漏洞存在于Firefox的URL處理器元件中，而這一元件正是此前Mozilla所公布另一漏洞的根源所在。

　　nCircle Network Security的安全研究工程師Tyler Reguly表示，與此前公布的漏洞一樣，這個新發現的漏洞也可以被攻擊者利用來啟動受害者電腦上的應用程式，而這一過程並不需要認証。他表示這兩個漏洞都與URL處理過程相關，它們只是相同處理過程中的不同錯誤而已。

　　雖然那兩位研究人員公布的代碼只能運行那些已經安裝在受害者電腦上的程式，但是如果被犯罪者利用將會是非常危險的事。例如，攻擊者可以利用受害者電腦上的已有程式來下載惡意程式並進行安裝，這樣後果就不堪設想了。

　　攻擊者會引誘用戶點擊某惡意鏈結以使攻擊執行。自從安全研究人員Thor Larholm演示了IE和Firefox如何進行交互，並且這會被攻擊者利用來在用戶電腦上不必進行驗証就能運行軟件之後，Firefox的URL處理器問題一直困擾著Mozilla。為了實現攻擊，IE要從網上下載錯誤格式的資料並轉發給Firefox，這樣就能夠啟動不需驗証的軟件。

　　Mozilla計劃在即將推出的Firefox 2.0.0.6中修複這個漏洞。

http://news.sina.com.tw/tech/sinacn/cn/2007-07-27/163438180083.shtml