这两天网上广泛报道了一个关于火狐浏览器最令人震惊的消息:在 ToorCon 黑客会议上, 两个hackers演示了firefox javascript 虚拟机存在的漏洞并且声称 :" Firefox的javascript 安全机制完全乱七八糟, 根本不可能修复... 只要在网页上加入特定javascript,就能使其产生溢出错误, 甚至控制该计算机"。当Mozilla员工希望他们提供详细情况时, 他们说“我们所做的是为了Internet的更大利益, 我们(用它)正在建立黑客们的通讯网络” 。(
http://www.pcworld.com/article/id,127355-c,mozilla/article.html )
相关消息很快传播开来, 并且登上了google news 的头版, firefox的安全负责人则表示“该漏洞存在,能使firefox 运行中止, 但不确定是否能够被用于执行代码”。 不过这已经让人感到凉气森森。 互联网上甚至出现了这样的标题 “firefox 下一个 Internet Exploer?” 意指是否firefox会像IE一样漏洞百出。
不过最新的来自博客的消息似乎可以让人松口气:
http://developer.mozilla.org/devnews/index.php/2006/10/02/ update-possible-vulnerability-reported-at-toorcon/
我们与演讲人进行了交谈, 他提供了更多的代码, 并且愿意发表如下申明该演说的主要目的是幽默。
演说中提到该漏洞可远程执行代码, 但我们演示的代码实际上不能远程执行代码, 我也不知道任何人能用它做到。
除了让程序崩溃,消耗系统资源外,我从没有用它控制过别人的计算机, 或执行过特定代码。
我向所有涉及的人道歉, 希望我已经澄清所有的东西。
--Mischa Spiegelmock
-Window Snyder