Firefox 3.0.8發布 修複嚴重安全性漏洞

Mozilla基金會近日推出了Firefox的最新安全更新版本， 該Web瀏覽器運行商曾在兩個禮拜前的溫哥華軟體安全公約大會期間被駭客攻擊。

這項更新處理了Mozilla Firefox瀏覽器3.0.x. 版本中的兩個獨立的安全性漏洞，使用者可以通過瀏覽器協助菜單上的“檢查更新”獲得，根據Mozilla官方部落格顯示。當然，使用者也可以下載最新版本的Firefox瀏覽器Firefox 3.0.8，Firefox 3.0.8早在一個禮拜前就已經處理了這些安全性漏洞。

其中有一個漏洞補丁是一個與XSL解析相關的概念證明型記憶體破壞漏洞。這個被稱為“crashing bug”的漏洞是在上周由一名意大利駭客發現的。

Mozilla修補的第二個漏洞的發現者是一個自稱叫尼爾斯的駭客。他通過CanSecWest Pwn2Own駭客大賽贏得了15000美元。尼爾斯第一攻擊Internet Explorer 8 ，找到了DEP(資料執行防止)和ASLR (地址空間布局隨機化)漏洞。微軟表示，這些漏洞都已經被修複。他還根據一個帳戶中斷了蘋果的Safari瀏覽器。

尼爾斯是一個德國的電腦專業的25歲的學生，在活動期間僅僅透露了自己的名。他解釋了他之所以能夠入侵Firefox瀏覽器表明“XUL樹方法moveToEdgeShift在某些情況下是觸發垃圾收集的過程。”

這個漏洞導致了Firefox的崩潰。它可以引誘使用者到一個有關拉登準備部署攻擊的網站，使駭客能夠在受攻擊者的電腦上運行惡意代碼。

在最新發行的更新中，Mozilla基金會將兩個漏洞的評級都定為“嚴重漏洞” ，這是Mozilla的最高安全層級。Mozilla還表示，這兩個漏洞也可以通過Firefox瀏覽器中禁用的JavaScript得到解決。

1. 搶鮮IE8的Web開發新特性
2. Firefox瀏覽器與中國
3. JavaScript成瀏覽器戰爭主戰場