原文
http://taiwan.cnet.com/news/software/0, ... 270,00.htm
Mozilla漏洞讓駭客可騙取用戶資料
CNET新聞專區:Paul Festa 28/07/2004
認為Mozilla 瀏覽器更安全的用戶應該再等上一週才考慮,因為開放原始碼瀏覽器開發組織Mozilla 基金會承認該瀏覽器處理認證的方式存在二個嚴重的缺陷。
Mozilla 基金會表示,由於有問題的原始碼來自Netscape專屬程式的前身時期,因此技術人員沒有能夠及時發現這二處缺陷。
「這個安全程式碼已經存在6、7年的時間,因為Netscape 4.0那時期的重大漏洞都已經處理完了。」Mozilla 基金會的設計主管Chris Hofmann表示「我們已經很久沒看到重大的漏洞,這次可說是相當意外。」
對於Mozilla 基金會而言,認證處理缺陷出現的時機可說相當尷尬,安全專家前些時候還稱讚該瀏覽器相當安全,現在就出了一個大漏子。
儘管Mozilla和其他IE競爭對手都聲稱自己的程式碼更安全,但它們也承認,微軟產品比較容易成為駭客目標也是原因之一,因為IE的市佔率較高。如果Mozilla 等瀏覽器的市場佔有率大幅度提高,情況也許會發生變化。
二個認證缺陷中的第一個能夠使駭客欺騙用戶,將惡意網站看作是可信賴的網站,竊取用戶的機密個人資料。相對而言,第二個缺陷則沒有那麼嚴重。由於該缺陷的存在,偽造的認證能夠破壞合法的認證,從而使用戶對可信賴網站的訪問被拒絕。
Mozilla 基金會表示,它目前正在考慮是發佈單獨的修補程式,還是要發佈修正缺陷後的新版本瀏覽器。它預計將在一周後發佈修補軟體或新版本的瀏覽器。 (jasmine)
[新聞]Mozilla漏洞讓駭客可騙取用戶資料
版主: 浩子
