安全研究员正在关注带有JavaScript开发框架的Mozilla浏览器。包括Mozilla火狐在内的网络浏览器开源软件因为有一些设计缺陷,所以都可能存在着一定的潜在风险,恶意侵入者可能会彻底控制受害用户的计算机。Radware安全研究员Itzik Kotler表示,他可以利用Mozilla火狐做任何他想做的事情。
Kotler的火狐开发框架被称为Jinx,利用JavaScript可以让恶意侵入者们任意读取受害用户的硬盘。Jinx可以给数百万的用户带来潜在的风险。尽管目前还无法完全确定Mozilla用户到底会遭遇怎样的风险,但是Mozilla的安全性也受到了广大用户的怀疑。
Kotler在接受InternetNews.com采访时表示:“我一直在研究火狐的漏洞,黑客们每时每刻都在试图攻击互联网。业内通常都认为火狐的安全性比IE更强,所以我就将我的重点放在火狐研究上。”
Kotler解释道,他的目的是要创造一种不依赖于虚拟化或者SQL注入攻击的恶意软件,而将会完全依赖于浏览器本身。Jinx实施的基础是从用户电脑中下载文件并且发生到偏远的网站上去。
Kotler认为,Jinx是一个允许恶意侵入者访问任何驱动的硬盘读取器。Kotler并不满足于只读取用户硬盘中的内容。他做了一个互动,可以管理多个Jinx实例。
为了执行Jinx框架,Kotler使用了URI(定义)处理文件,以实现目标系统。
Kotler证明了Jinx的实施只能影响火狐2,而不能干扰火狐3。但是他还是很有信心的表示,再给他更多的时间他就能够找到火狐3和其他任何浏览器的漏洞。他通过电子邮件向Mozilla首席安全官Window Snyder披露了他发现的漏洞问题。
Snyder在接受InternetNews.com采访时表示,她只在上周五收到了Kotler一份简短的邮件。
Snyder表示:“我们关注的是火狐2依然还在使用中,并且还具有一些火狐3并不具备的功能。我们对任何可能对用户造成伤害的行为都相当的关注。”她认为Kotler在向公众公开披露这些安全问题之前没有给Mozilla足够的时间进行评估。如果Kotler能够提早和Mozilla联络的话, Mozilla将会进行非常全面的评估和分析,为用户提供更为安全的服务。
但是科特勒公开发布火狐的安全漏洞,对Mozilla也产生了不好影响。
Snyder表示:“对于一些一直在进行火狐安全性研究的人士,我们非常感激他们,因为他们在帮助我们进一步的提升火狐的安全性。研究人员发现了安全漏洞,我们可以立刻的展开修复,这也会为火狐用户带来更加优越的安全性。”
来源:pconline