一个安全公司上周宣布在开源浏览器Mozilla Firefox中发现两个漏洞,其中一个漏洞可能使Firefox浏览器用户被盗取本地计算机上的文件。
这两个漏洞都是由Beyond Security公司下属的Securiteam发现的。第一个漏洞于周一公开,该漏洞存在于Firefox的广告过滤功能,根据Securiteam所发布的安全公告,Firefox正常情况下是不允许被访问网站访问本地计算机文件的,但是由于其URL权限检查在用户手动关闭弹出广告过滤功能时也会失效,因此,恶意攻击者可以利用这个漏洞去盗取用户本地计算机存储的文件和个人信息。
针对这个漏洞的攻击流程如下:恶意攻击者伪造一个包含该漏洞利用代码的页面,并将该页面的地址发送给用户,当用户点击此连接时,Firefox会弹出一个询问用户是否允许下载文件或播放视频的弹出窗口的提示,如果用户允许了该弹出窗口,恶意攻击者伪造的页面将获得访问用户本地计算机文件的权限。
从测试结果看,该漏洞只存在于低于版本2.0的Firefox中,但是在Securiteam的安全公告中没有提到这一点。
周三Securiteam公布的第二个Firefox漏洞存在于Firefox的反钓鱼保护功能中,恶意攻击者伪造的钓鱼网站只需要在页面上加入特定的字符即可使Firefox认为它是安全的正常网站,这个漏洞在最新的2.0.0.1版本的Firefox中依然存在。
目前Mozilla还没有对此安全公告提到的两个Firefox漏洞进行确认。
