[新聞] FireFox驚見極為危險漏洞 建議儘速關閉JavaScript功能

Wood

應該有很多人在用這個軟體吧？ 請參考。

http://www.ettoday.com/2005/05/11/91-1788817.htm

metaljim

唉 ~連最可信任的FireFox都有陷阱.....
在Firefox 1.0.4版發表以前,少去一些"危險網站"探險吧~

小酒蟲

難道是五十步和百步之差？B)B)B)

czh

Originally posted by metaljim at 2005-5-11 10:25 AM:
唉 ~連最可信任的FireFox都有陷阱.....
在Firefox 1.0.4版發表以前,少去一些"危險網站"探險吧~

標紅的那句話大有問題
好像是在怪程式讓你踏入陷阱,現在陷阱不是在程式本身
沒有程式設計師會那麼閒故意在自己的程式佈下具危險性的陷阱
現在有危險性的陷阱都是在瀏覽網頁的本身
誰知到全世界每個人的思考邏輯是怎麼想的
如果可以100%預防那早就世界大同了
請導入正確的邏輯,不要隨意的去責怪無辜的人
如果沒有那些奇怪的陷阱網站,程式會好寫很多,也不會有所謂的陷阱

czh

不得不再說一下
漏洞是絕對不可能補的完的
只要人是會思考的動物,那完美的防護總是會有人想去攻破
可是這個防護也要有那種被攻破的價值
試想一個系統不到百萬人使用,那攻破哪會有成就感
所以不要說某某西統有多完備,那只是代表那個系統極冷門罷了
現在FireFox漏洞多了起來只是代表他已經變熱門,讓更多人較有意願去攻破他而已
哪天這種新聞消失了才是叫人悲哀,因為這代表他又冷下去了

todau

嗯~ 覺得好奇, 所以跑去找了英文的報導內容來看.

其中一段是這樣的
The vulnerability requires the attacker to trigger an install that appears to come from a whitelisted site. Fortunately, the Mozilla Foundation controls all of the sites in the default software installation whitelist, which has allowed them to take some preventative action by placing more checks in the server-side Mozilla Update code and moving the update site to another domain. We believe this means that users who have not added any additional sites to their software installation whitelist are no longer at risk.

出自 http://mozillazine.org/

也就是說, 只要沒有自己去修改過 Allowed Sites, 那麼應該是不會有問題的.
Firefox 有設計一個 whitelist 的下載機制.

不過, 這個 Javasrcipt 執行權限的問題當然還是存在的, 也確實預期會被修正.

只是, 並沒有像 ettoday 描述得那麼嚴重~

mfhsieh

完整的 Advisory 在這：
http://www.mozilla.org/security/announce/mfsa2005-42.html

其實我覺得 todau 所指的那個 bug 比較不嚴重。(對我而言)
會到處下載 extension/plugin，本身就已經是一件十分容易出問題的舉動。

但還有另一個 bug，

By causing a frame to navigate back to a previous javascript: url an attacker can inject script into any site. This could be used to steal cookies or sensitive data from that site, or to perform actions on behalf of that user. (Affects Firefox and the Suite).

這對我來說比較防不勝防，誰知道那個網站是乾淨的？如果真的把 javascript 關了，那一大堆的網站都不正常。

[ Last edited by mfhsieh on 2005-5-11 at 13:24 ]

晨

1.04新版出來囉....

http://www.moztw.org/

ychao

能夠在最短時間把bug修掉，才是Firefox值得信任的重點啊！
至於等ie出修正版，真的出的時候也忘記到底是有什麼bug了。

[ Last edited by ychao on 2005-5-14 at 18:47 ]

redtears1207

挖~~這麼快就有更新囉
雖然不了解這樣的bug到底算不算是很恐怖
不過新聞只是新聞
火狐也能這麼快除掉bug
(感覺上比ie 難能可貴)

小酒蟲

不要講的好像 IE 從沒出過修正版一樣。B)

[ Last edited by 小酒蟲 on 2005-5-13 at 15:39 ]

tales

因為 IE 就算修正了還是 IE 啊。

小酒蟲

我把 czh 上頭那段話送給你們好了....
（這種話就像是一些 MAC fans 說他們都不用擔心 virus 一樣）