Mozilla在Firefox上拍打Temp补丁

苹果 仍然需要修复QuickTime,但Firefox用户现在从攻击中更安全

Mozilla Corp.周二更新了Firefox,阻止攻击在Apple的Quicktime中攻击漏洞,这是一位沮丧的英国安全研究员报告了一年前的一位前。

上周四,Petko Petkov,一个基于U.k.的Web应用程序渗透测试仪,发布了一个利用代码 苹果公司的Quicktime中的错误 媒体播放器。 Petkov于2006年9月首次披露的BUG,允许攻击者在配备Firefox 2.0.0.6或更早版本的系统上运行脚本命令,并为他们提供完全泄露机器的方法。 Petkov在2006年在2006年两次联系Apple后,在未经收到答复后,佩特科夫张贴了攻击样本。

在今天宣布更新,Mozilla的安全主管, 窗户斯奈德 ,吹嘘她公司的快速响应时间。 “这个问题仅在六天内修补,”斯奈德写在Mozilla的安全博客上。 “当供应商快速修复安全修复时,它会降低攻击者的激励,花时间为该问题开发和部署利用。”

然而,在一个单独的咨询概述了修复的情况下,Mozilla也承认了一个 7月17日更新 ,在Firefox中修补了另一个QuickTime处理问题, 错过了这个第二个错误 。 “MFSA 2007-23的修复旨在防止这种类型的攻击,但QuickTime以意想不到的方式呼叫浏览器,即绕过该修复的意外方式,”咨询读取。

Mozilla说,苹果也滑倒了。 “此QuickTime问题似乎是CVE-2006-4965所描述的,但在QuickTime 7.1.5中应用的修复苹果不会阻止此版本的问题。” Apple将QuickTime 7.1.5发布为3月初的安全更新。

实际上,今天的更新实际上并没有修补漏洞,但只需阻止浏览器从命令行运行任何任意脚本。然而,“其他命令行选项仍然存在,仍然可以使用QuickTime Media Link文件来惹恼弹出窗口和对话框的用户,直到此问题在QuickTime中修复,”Mozilla警告。

Apple在2007年重复了QuickTime补充了四次,并没有修复潜在的脆弱性。上周,当被问到这个错误时,一个苹果发言人简单地说“Apple非常重视安全性,并且在他们影响用户之前解决潜在漏洞的很好的轨道记录。”

巧合,今天Petkov发布了另一个关键媒体播放器缺陷的描述。在Windows Media Player中的最新错误可以由攻击者使用与恶意媒体文件利用Internet Explorer漏洞,即使PC的所有者仅与Firefox,Opera或其他非Microsoft浏览器冲浪。

版权 © 2007 IDG Communications,Inc。

  
在亚马逊的商店技术产品