比預想嚴重：FireFox現影像處理漏洞

 

研究人員表示，在Firefox 1.5.0.3中發現的新隱患可能會導致拒絕服務的攻擊。這個漏洞由於瀏覽器處理映像標籤的方式引起的。SANS Internet Storm Center首先報道了這個問題，經過深入的研究發現這漏洞會被惡意的利用。

人們開始以為這個漏洞不會被利用，因為帶有超連結的“圖片”被開啟時會調用Media Player來播放尾碼為“.wav”格式的檔案。然而，現在研究人員表示，這個漏洞聯合java script就能夠開啟郵件用戶端並通過“mailto：”命令開啟多個視窗。

研究人員表示，這樣的話，最終系統就會停止回應。據某個Web Log表示，這是一個概念驗證代碼，更壞的是img xsrc=的標籤可以被用來開啟幾乎任何東西。

myITforum.com的Chris Mosby提供了幾個避免這個漏洞被利用的建議。其中一個可行的方法是，關閉Firefox中的郵件自動啟動。他還補充道，使用者應該禁用java script或同時屏蔽“mailto：”。

目前Mozilla還沒有就這件事做出評論