.Firefox 與 IE 之零時差問題
日前發現微軟網頁瀏覽器IE有嚴重「零時差」安全漏洞的安全專家再次警告,同樣的問題也會影響Firefox使用者。
同時安裝有IE與Firefox 2.0以後版本的使用者,都面臨「相當嚴重」之風險。問題起於使用者以IE瀏覽某個惡意網站,而其註冊了"firefoxurl://" URI(資源辨識字串)處理器,以便瀏覽器與特定的網路資源互動。因此,使用者的系統可能遭到遠端破壞。
10日稍早,發現上述瑕疵的安全研究員Thor Larholm與電腦安全公司賽門鐵克將此歸咎於微軟IE,但Secunia技術長Thomas Kristensen稍後指出,Firefox 2.0版才是罪魁禍首。
賽門鐵克安全反應中心(Symantec Security Response Center)主任Oliver Friedrichs說:「兩方都有一點責任。把兩個不太能共處且非常複雜的應用軟體放在一起,就會導致安全問題。這兩個元件就單一產品而言都是安全的,但放在一起就不是。」
Larholm在回覆讀者評論時也表示:「Firefox是目前攻擊的帶原者,但IE錯在沒有過濾…就把資料傳給指令列。我同意Firefox應該用純粹的DDE(動態資料交換,資訊交換之協定)註冊其URL處理器,藉此迴避指令列參數夾帶攻擊的可能,但IE應該仍可安全地啟動外部應用程式。」
Friedrichs指出,雖然去年10月推出第二版的Firefox使用人數已相當可觀,大多數的Firefox使用者仍有安裝微軟IE,受到影響的人數可能非常大。Kristensen也說:「Windows系統已註冊了一個新的URI處理器,允許網站在'firefoxurl://' URI被呼叫時,強迫開啟Firefox。如ftp://、http://等則會啟動其他應用軟體。」
但由於該URI處理器是由Firefox所註冊,當firefoxurl://被啟動,任何參數(啟動某個程式執行某個特定工作)都會由微軟IE或其他應用軟體傳給Firefox。Kristensen表示,攻擊者或可利用"chrome"(創造頁面顯示框架的瀏覽器界面元件),在受害系統注入能在 Firefox內執行的程式碼。
Kristensen說:「URI處理器的註冊必須非常小心,因為Windows沒有任何適當的方法去知道哪種輸入資料可能對某個應用軟體產生危險。舉例來說,Windows怎會知道一串'chrome'會對Firefox造成危險。」
他表示,除了避免進入惡意網站外,系統管理員可取消註冊、或移除"Firefox URL" URI處理器,及變更Firefox接受chrome資料的方式。(陳智文/譯)
