Firefox也受攻击

mozilla公司的firefox2.0也容易受到那些利用windows动态光标漏洞的黑客们的攻击。所以该公司昨天督促微软迅速赶制出临时应急的补丁包。

determina的漏洞研究员alexander sotirov去年12月发现了ani漏洞，并在上个月末的时候通知了微软。昨天他发表了一份演示，展示如何利用ani漏洞来诱使firefox用户访问恶意站点，并劫持计算机。

sotirov在演示过程中说，“这表明firefox处理.ani文件的时候用的同样是微软的ani组件，那么它同样可能受到跟针对ie的攻击很类似的攻击。”

他展示了在使用vista的计算机上ie7和firefox2.0如何能被利用ani进行的攻击所危害。他使用了去年12月自行制作的ani攻击来进行演示，该演示也曾提供给微软的安全小组作为参考。

在针对ie7的攻击中，攻击者能够访问系统中的所有文件，但是由于vista默认的ie保护模式，sotirov说“我们不能更改任何系统文件。”

vista版的ie是以低权限模式运行的——微软称其为“保护模式”——该模式禁止对除一个临时文件夹之外的任何文件的硬盘写入操作。

而在针对firefox2.0的相同攻击中，sotirov可以访问所有的pc硬盘分区。“由于firefox没有跟ie的保护模式类似的低权限模式，我们还可以覆盖文件，”他说。

一些第三方安全软件供应商声称firefox2.0不会受到攻击。例如，赛门铁克在给deepsight用户的威胁预警中称，“mozilla的firefox不受该漏洞的影响。”

但sotirov说，其实并非如此。“产生分歧的原因是，针对firefox的攻击目前还没有公开。因此，某种意义上说，由于没有在野的针对firefox攻击，因此firefox相对比较安全。但是，人们应当注意，攻击者们可能已经找到了攻击firefox的方法了。”

mozilla并没有对此事作出任何评论，也没有确认firefox也会受到攻击。

到目前为止，mozilla已经发布了10项firefox补丁包。