2009年12月8日星期二
Firefox扩展中发现零时漏洞 zz
安全研究人员在Firefox流行的扩展Sage v1.4.3、InfoRSS 1.1.4.2、Yoono 6.1.1(及它们的早期版本)中发现了Zero-day漏洞。
安全研究员指出,Mozilla没有为扩展设立安全模式,Firefox也似乎对扩展的代码信任有加,甚至扩展之间都没有安全界限,结果有的扩展暗地里会 去修改其它扩展的代码。研究人员相信扩展的漏洞多是人为因素,因为扩展开发者是业余开发,对漏洞的危险性并不十分了解。被发现有漏洞的扩展估计的下载量高达3000万次。
安全研究员指出,Mozilla没有为扩展设立安全模式,Firefox也似乎对扩展的代码信任有加,甚至扩展之间都没有安全界限,结果有的扩展暗地里会 去修改其它扩展的代码。研究人员相信扩展的漏洞多是人为因素,因为扩展开发者是业余开发,对漏洞的危险性并不十分了解。被发现有漏洞的扩展估计的下载量高达3000万次。
// 发贴者:放牛娃的春天 @ 十二月 08, 2009 
订阅 博文 [Atom]