yumr

在黑客公佈了漏洞細節後，Mozilla公司正在修補這一Firefox瀏覽器漏洞，該漏洞會讓黑客在機器上運行未授權軟件。

　　第一個漏洞存在於Firefox的URL處理器組件中，也是Mozilla週二發佈的另一漏洞的來源。

　　第二個漏洞由分別來自於Verisign股份有限公司和企業合夥人Ernst & Young的安全顧問Billy Rios和 Nathan McFeters在週二發佈。

　　來自nCircle Network Security 的安全研究工程師Tyler Reguly說，像第一個漏洞一樣，這個漏洞也能使黑客進入受害者電腦中不用授權啟動程序，它們兩者都涉及到URL處理程序，只是程序中不同的錯誤的區別。

　　Reguly還說到，即使由Rios 和 McFeters發佈的代碼只能用來啟動受害者電腦中已經安裝的程序，但如果被犯罪者利用仍然是非常危險的。它能讓你運行存在於受害者電腦中的任何程序，你可以用它來做相當壞的事情。比如，使用command-line FTP從某處的服務器下載惡意文件然後執行此文件。

　　Mozilla的首席安全官Window Snyder表明正在校驗與修補這一最新漏洞。

　　此次事件，微軟和Mozilla在誰存在過失的問題上態度不一致。最初Snyder說攻擊不會只在Firefox上單獨發生，微軟應改變IE向其他程序傳送數據的方式。微軟則表示問題出在Firefox上面。

　　在週二公佈第一個URL處理器漏洞細節的同時，Snyder承認她錯了，「我們以前認為問題發生在IE上。原來，Firefox也有問題，」她說，「我們應該早就面對這一情況。」

Mozilla計劃在即將發行的2.0.0.6瀏覽器中解決這個問題。Snyder沒有說明Billy Rios公佈的漏洞何時出補丁。