Mozilla Corp. 昨日表示它们已经证实 Firefox 3.5 第一个安全漏洞,并表示恶意网页能通过这个漏洞绑架你的电脑。一位着名的火狐贡献者还形容这种状况是种“自残(self-inflicted)”行为。他还提到在周一贴出恶意程式码的人是通过翻找(rooting through,译注:想想猪在找松露的样子)火狐臭虫的相关讨论区才意识到有这个漏洞。
这个漏洞出在 Firefox 3.5 首次现身的 TraceMonkey JavaScript 引擎,只要浏览含有恶意程式码的网页就会中奖。
一家丹麦资安公司把它列为高度危急的漏洞,并指出问题出在该引擎处理 font 这个 HTML 标签上。
Asa Dotzler 表示,较旧的火狐版本反而没有这个问题,他还说目前大家正在修补此漏洞,会尽快将之发布。
目前的暂时解决之道是关闭 TraceMonkey 引擎的 just-in-time 元件,方法是在网址列输入“about:config”并在过滤条件中输入 jit,接着将javascript.options.jit.content 这个参数设为 false,另外 NoScript 这个外挂也能阻挡这个问题。
文中还提到,这个漏洞在上周四就有 Mozilla 开发者提到了,还在研究中,攻击代码竟然就出现(所以才会说“自残”)... patch 出来后,火狐版本将会是 Firefox 3.5.1。