咨询热线:400-000-3720 中文 | English
您现在的位置: 安腾软件 >> ITEN博客 >> 正文

用IE点击恶意链接将破坏Firefox安全性

正当Mozilla的firefox和微软的IE浏览器为了争夺市场份额,斗的不可开交时,两家公司的争斗又爆出新的导火索。当用户的主机同时安装了Mozilla公司的Firefox浏览器和微软公司的IE浏览器后,如果用户使用IE浏览器点击一个恶意链接,那么主机上的另一个浏览器Firefox的安全性会遭到破坏。

    安全研究人员发现了这个有趣的安全问题,它把这两款主流浏览器纠缠在了一起。由于微软的IE浏览器上存在的这个安全漏洞,导致Mozilla的Firefox浏览器可以执行远程的恶意代码。

    在安全公司Secunia周二发布的安全公告上,这个安全漏洞被列为高危漏洞。该漏洞被确认在打了所有补丁的Windows XP SP2的操作系统上运行的Firefox 2.0.0.4上存在。

它是如何工作的

    终端用户在使用IE浏览器浏览一个恶意网页时,如果用户机器上同时安装了Firefox浏览器,这个漏洞才会触发,否则,不会带来任何的安全威胁。

    据Mozilla的工作人员说,这个链接可以使得IE浏览器通过命令行,触发另一个应用程序Firefox运行,并把恶意网页上的URL传给Firefox,从而导致恶意代码从这个恶意网页传给Firefox,这些恶意代码允许Firefox执行远程代码。Firefox的开发者在Mozilla的安全博客上公布了这个问题的原委。

    用同样的方法,IE可以触发其他Windows应用程序运行,但目前还没有相关的报告。

    漏洞没有及时修复

    Mozilla和微软目前都没有及时的修复这个漏洞,但是Mozilla技术人员说,他们会为修复这个漏洞,升级Firefox到2.0.0.5,阻止IE向Firefox发送恶意数据。当然,因为IE是微软的程序,所以IE的问题还要微软自己来解决。

    很重要的一点是:当用户使用Firefox浏览器浏览网页时,是不会受到这个漏洞的攻击的,Mozilla公司在它的安全博客里说到。目前Mozilla公司也没有看到任何证据说明有黑客利用了Firefox的这个漏洞。

    使用Firefox浏览网页可以解决这个问题,但同时Secunia公司建议用户不要用IE浏览不明网站。

    为恶意代码打开大门

    “根本问题是含有恶意代码的网站的数目”,Sophos公司的高级安全分析师Ronald O'Brien说到,“我们知道,成千上万的网站在建立时缺乏基本的安全考虑,导致黑客们轻易的在它们的网站上注入恶意代码。”

    计算机感染病毒,从而被远程控制的可能性越来越大。而简单的让用户在浏览器中点击一个恶意链接,就可以造成用户主机中毒甚至被远程控制的严重危害,这让O'Brien很是吃惊。