IE点击恶意链接的安全性
正当Mozilla的Firefox和微软的IE浏览器为了争夺市场份额,斗的不可开交时,两家公司的争斗又爆出新的导火索。当用户的主机同时安装了Mozilla公司的Firefox浏览器和微软公司的IE浏览器后,如果用户使用IE浏览器点击一个恶意链接,那么主机上的另一个浏览器Firefox的安全性会遭到破坏。
安全研究人员发现了这个有趣的安全问题,它把这两款主流浏览器纠缠在了一起。由于微软的IE浏览器上存在的这个安全漏洞,导致Mozilla的Firefox浏览器可以执行远程的恶意代码。
在安全公司Secunia周二发布的安全公告上,这个安全漏洞被列为高危漏洞。该漏洞被确认在打了所有补丁的Windows XP SP2的操作系统上运行的Firefox 2.0.0.4上存在。
它是如何工作的
终端用户在使用IE浏览器浏览一个恶意网页时,如果用户机器上同时安装了Firefox浏览器,这个漏洞才会触发,否则,不会带来任何的安全威胁。
据Mozilla的工作人员说,这个链接可以使得IE浏览器通过命令行,触发另一个应用程序Firefox运行,并把恶意网页上的URL传给Firefox,从而导致恶意代码从这个恶意网页传给Firefox,这些恶意代码允许Firefox执行远程代码。Firefox的开发者在Mozilla的安全博客上公布了这个问题的原委。
用同样的方法,IE可以触发其他Windows应用程序运行,但目前还没有相关的报告。
漏洞没有及时修复
Mozilla和微软目前都没有及时的修复这个漏洞,但是Mozilla技术人员说,他们会为修复这个漏洞,升级Firefox到2.0.0.5,阻止IE向Firefox发送恶意数据。当然,因为IE是微软的程序,所以IE的问题还要微软自己来解决。
很重要的一点是:当用户使用Firefox浏览器浏览网页时,是不会受到这个漏洞的攻击的,Mozilla公司在它的安全博客里说到。目前Mozilla公司也没有看到任何证据说明有黑客利用了Firefox的这个漏洞。
使用Firefox浏览网页可以解决这个问题,但同时Secunia公司建议用户不要用IE浏览不明网站。
为恶意代码打开大门
“根本问题是含有恶意代码的网站的数目”,Sophos公司的高级安全分析师Ronald O'Brien说到,“我们知道,成千上万的网站在建立时缺乏基本的安全考虑,导致黑客们轻易的在它们的网站上注入恶意代码。”
计算机感染病毒,从而被远程控制的可能性越来越大。而简单的让用户在浏览器中点击一个恶意链接,就可以造成用户主机中毒甚至被远程控制的严重危害,这让O'Brien很是吃惊。