Mozilla发布补丁修复火狐严重漏洞

Mozilla发布了更新版本的火狐浏览器，修复了火狐浏览器中严重的安全漏洞。攻击者利用这些安全漏洞能够获得敏感的信息，引起拒绝服务攻击或者执行任意代码。

　　火狐2.0.0.5版修复了这些安全漏洞。大多数用户能够自动下载这个升级版本。Mozilla上一次更新火狐浏览器是在今年5月份。当时，Mozilla修复了一些重要的安全漏洞。

　　Mozilla的MFSA 2007-18安全补丁修复了一个严重的内存破坏漏洞。这个问题能够导致32种崩溃的状况。攻击者利用这些问题能够执行任意代码。使用火狐浏览器的Mozilla Thunderbird也进行了升级以便解决这个问题。

　　Mozilla在安全公告中说，由于没有进行进一步的调查，我们不排除攻击者利用大型图型文件等JavaScript以外的其它手段准备利用内存安全漏洞的方法来利用这些安全漏洞的可能性。

　　MFSA 2007-19安全补丁修复了一个在使用"addEventLstener"或者"setTimeout"时出现的定时问题。Mozilla称，这个定时问题可能导致交叉站点脚本攻击和交叉域攻击。MFSA 2007-20安全补丁修复了一个影响低的框架欺骗安全漏洞。攻击者利用这个安全漏洞可以向网页的"about:blank"地址栏注入内容。

　　Mozilla的MFSA 2007-21安全补丁解决了一个事件处理错误。这个错误可以导致执行任意代码。Mozilla说，远程攻击者可以利用这个安全漏洞获得访问这个浏览器的权限。

　　MFSA 2007-22至MFSA 2007-24安全补丁修复了一个重要的安全漏洞。通过在IE浏览器中启动火狐浏览器可以利用这个安全漏洞远程执行代码。这些补丁还修复了一个不太严重的文件扩展名错误和一个影响很大的wyciwyg://文件错误。

　　Mozilla在安全公告中说，当用户访问一个IE浏览器的网页，并且用鼠标点击一个特别制作的链接时便暴露出了这个漏洞。那个链接能够让IE浏览器通过命令行启动另一个Windows程序，然后把来自恶意网站的URL发送给那个程序。

　　MFSA 2007-25安全补丁修复了"XPC native wrapper"中的一个安全漏洞。攻击者可以修改这个漏洞获得浏览器的访问权限。

　　这个安全更新促使杀毒软件公司赛门铁克向其客户发出了一个安全漏洞警告，劝告其客户升级到最新版本。赛门铁克说，攻击者能够窃取基于cookie的身份识别证书，发动拒绝服务攻击并且最终攻破浏览器。

　　赛门铁克在安全公告中说，要利用介绍的大多数安全漏洞，攻击者必须托管一个恶意网站或者向不加防备的用户发出恶意的HTML电子邮件。