為何最近 Mozilla 針對其 Web 瀏覽器發佈重大更新?是哪些弱點促使他們這樣採取這些行動?

這些更新首先修正了一個彈出視窗封鎖程式的跨網站指令碼處理 (XSS) 弱點,造成此弱點的原因是一個彈出視窗封鎖程式選項被允許檢視遭封鎖的彈出視窗,導致遠端參照惡意網站,即使停用 JavaScript 功能也無法避免。其他的更新則處理了一些記憶體管理問題,這些問題可能導致記憶體使用參照發生衝突,導致瀏覽器意外終止,或遭植入可執行的程式碼;以及因為在特別設計的 JavaScript 程式碼中使用無效字元而導致緩衝區溢位的問題,此弱點若遭利用,便可執行惡意程式。

此外,Mozilla 還修正了 RSA 簽章認證的建置弱點,此簽章認證建置弱點可能讓偽造的 SSL/TLS 憑證通過驗證,因此駭客可能以「半路攔截 (man-in-the-middle)」的方式進行攻擊,從理應十分安全的連線階段中竊取資訊。另一個修補程式則修正了利用 document.open() 偽造框頁的問題,此問題若未修補,攻擊者便可能偽造網站部分內容 (例如登入網頁),藉此竊取登入資訊。此外,還有一個有關在郵件中透過 XBL 執行 JavaScript 的弱點,即使將 JavaScript 停用,依然允許從外部參照內嵌的 XBL 物件,讓駭客得以監看使用者的電子郵件往返內容。

最近這一波更新行動反映出駭客的目標已逐漸從作業系統轉移到應用程式。 「這是因為瀏覽器用戶端現在是最常用的應用程式。」Yaneza 解釋。「駭客還會鎖定媒體播放程式等應用程式,以及其他可延伸的軟體,像是 Adobe Flash 播放程式等。雖然 Internet Explorer 幾乎已成為 Windows 作業系統程式碼中不可分離的一部份,依然於事無補。由於 Microsoft Vista 即將推出 - 此一最新的作業系統承諾修正一些存在於底層核心的一些安全問題,因此這些資安威脅紛紛將目標轉移至應用程式的弱點,以延長存活時間,尤其當許多應用程式都交錯發佈於線上供人下載,因此難以控制與最新的修補版本保持同步。」

更多資訊請至趨勢科技:www.trendmicro.com.tw

bshadow 發表在 痞客邦 PIXNET 留言(0) 人氣()