美国计算机紧急安全救援小组(CERT)周三发布警告,Firefox的漏洞能让验证码病毒(proof-of-concept)快速传播。
据外电报道,按一位美国计算机紧急安全救援小组的一位顾问的说法,该漏洞可能导致内存崩溃出错。
另外一位安全小组顾问说,Firefox不能完全控制JavaScript "onUnload" 漏洞,攻击者能远程执行任意代码,导致内存崩溃。这一点还没有实际被利用的事例。
“Firefox 2.0.0.2更新包主要解决hostname漏洞、cookie漏洞、内存崩溃漏洞,”Mozilla的首席安全官Window Snyder写了一封电邮给InformationWeek,“为了安全,我们强烈要求所有的Firefox用户更新到最新版本。”
JavaScript onUnload 漏洞让攻击者可以构建一个恶意 Html 文件,执行特定的 JavaScript 命令使Firefox 崩溃。根据美安全小组建议,用户更新到Firefox 2.0.0.2后,禁用JavaScript等待新的更新补丁包出现为好。
关于IE浏览器中出现的相关问题,可以上溯到上世纪九十年代期间微软公司在浏览器大战中的急功近利思想。微软今天播下的种子,将在明天收获安全隐患的果子吗?
今年夏初的一天,我隔着窗户看见邻居正在离其房屋约两英尺的墙跟种一棵小树,我就想,几十年后这种树会长得非常庞大,目前栽得这么近,将来肯定会破坏他的房屋地基。我本来想警告他这一问题的,但我一想到每当我的狗出去时,他总是大声斥责,就没有提醒他。常言道,君子报仇,十年不晚,等上50年也可以。
我在院子周围种树和其它植物时,都是按照其长大的距离在它们之间预留空地的。我为什么会这样做呢?因为我是一个安全顾问嘛。
作为一名安全顾问,我经常会看到其他人为将来的灾难播下种子。我发现人们总是重复犯着相同的错误,到目前为止,在一定程度上,这还是可以原谅的:我们日常使用的许多软件代码是在对开发人员进行缓冲区溢出、规范化等方面的培训前编写的,许多软件都是软件编写高手从人才辈出的异常激烈的竞争环境中脱颖而出。
现以IE浏览器为例,IE 3和IE 4版本引入了客户端脚本、流式音频、DHTML、ActiveX控件、内容通道和其它许多很酷的功能。因为当时的人们并不会因安全原因而改变使用的浏览器,故安全问题并没有受到重视。微软以加快开发周期在浏览器大战中决胜,微软并不是以高压手段或营销方式促使用户改变使用的浏览器的,而是靠功能取胜。在 IE 4发布后的第一个24小时内,用户每6秒钟就下载一份拷贝,总数据下载量达到了10TB。很快,IE就确立了其霸主地位,直到今天,IE浏览器仍然上市场上的“老大”。
但现在人们选择浏览器就以考虑安全为主了,微软的浏览器客户正在逐步减少,纷纷转向诸如Mozilla基金会的Firefox浏览器,尽管Firefox浏览器的功能少得多,但其安全性能要好得多。用户对经常出现新危急缺陷的产品很容易失去信心。
不过,微软显然已吸取了教训。尽管对IE中出现的安全缺陷的报告似乎“无休止”,我认为,微软已经在别人发现缺陷之前,悄悄修正了IE中数以百计的安全缺陷,并改进缺省的安全设置,增加功能——如弹出式窗口过滤和插件管理等。微软正在为自己过去对安全的不重视付出代价,但它正在努力修正产品中的缺陷。
可能微软做得还不够,但最起码开始行动了,而且是朝着正确的方向前进。但我对它预防未来出现问题所采取的措施表示怀疑。它可曾回过头来修正了URL欺诈缺陷,再退一步,它是否考虑过这一缺陷?它对这种与操作系统紧密集成的策略是否提出过质疑?它目前编写的代码能否抵御将来的攻击或我们意想不到的威胁?现在我可以忍受IE中的缺陷,但我需要看到微软为将来播下正确的种子。
也许有人会问,如果你不了解将来的威胁,怎么采取预防措施?答案很简单:遵守最基本的安全准则,永不背离原则。在所有的安全缺陷历史上,许多问题是可预测的,如果遵守基本的安全准则,那些问题都可以避免。
假如我出去警告邻居那棵树的威胁,他也不一定会挖出树苗移走。所以那棵树还长在那里,现在看起来倒是不错,但我是名安全专家,每天看见那棵树,我心里都不舒服。(作者为安全网站SecurityFocus.com的资深安全顾问Mark Burnett)
Firefox力挽狂澜,IE7难扫颓势:
为了遏制Firefox咄咄逼人的发展势头,夺回被其蚕食的用户,微软被迫修订了“不再发布独立版IE浏览器”的决定,重新组织IE团队致力于IE7的开发。
如今,IE7早已问世并将作为“高优先级”升级于本月份通过自动更新提供给用户。经过了无数次测试之后,IE7的性能、功能早已不是秘密,更不神秘。人们更好奇的是一个不可预知的未来:IE7是否真能背负起迎战Firefox的使命?
据统计,在此前的近一个月时间里,主动将IE升级至7.0版本的用户比例并不高——只有3.05%。与此同时,比IE7迟5天发布的Firefox 2.0早已吸引了两成用户选择更新。虽然IE浏览器因所占的市场份额高、基数大,主动更新IE7的人数比例自然就低,这本不足为奇。但是这个数据至少能说明一个问题,那就是IE7的影响力并不大,至少并不如微软所预期的大。该问题的存在有其客观因素,有的是非微软所能左右的,有的甚至是微软自己造成的。
[支持IE7还是Firefox,用户已作出了选择]
1.安装IE7必须经过操作系统的正版验证,让一些使用非正式授权的Windows XP用户想升级时遇到了障碍,从而影响了IE7的推广。而Firefox本来就是开源的浏览器,并不存在授权问题。
2.IE 7的运行环境为Windows XP以上的Windows操作系统,依然使用着Windows 2000或是Windows 9X的为数不少的用户只能望洋兴叹。而Firefox 2.0适用的平台十分广泛,除了Windows家族不分新旧大多支持之外,Firefox还支持Linux和Mac OS X操作系统。
3.微软的开发人员认真地分析了浏览器市场的发展态势,为IE添加了许多流行的功能,比如标签浏览、RSS支持等等。这对微软IE来说是一种进步,有利于填补IE和竞争对手的技术鸿沟,但这些功能同目前其他浏览器所拥有的相同特性比较起来,IE7还存在着不小的差距。Maxthon、世界之窗、GB等以 IE内核为基础的网页浏览器因其丰富的特性吸引了绝大多数IE用户,Firefox又因其高度的可扩展性紧紧地把众多忠实用户黏住。有了其他选择,IE用户又何必急于升级至IE7呢?
4.Firefox的逐步流行促使大量只针对微软IE而不理会行业标准的网站改正前非,“兼容”Firefox。如此一来,IE的“优势”便荡然无存,有些之前因无奈才使用IE的用户便马上投身Firefox阵营。
IE在“兼容性”、可操作性上失去了明显的优势,再加上其安全性能有待考验,可扩展性又只能望Firefox项背,因此IE7能否在与Firefox的战争中扳回一局依然还是未知之数。只不过,这个未知的结局现实意义并不大。因为,对于用户来说,选择什么样的浏览器纯粹只是一种习惯;对微软而言,IE作为Windows的组件并不能直接带来收益,使用IE的用户少了也不会改变IE依然安装在Windows用户计算机上的事实,而且也不会直接影响到微软的收入。
可以说,在这场网页浏览器的大战中,不管结局如何都没有失败者——不管是从微软的角度,还是对Mozilla来说,抑或是对我们用户而言。
Windows兼容Linux,微软拥抱老怨家:
上周,有消息称Windows Vista已经顺利进入RTM阶段。正如在《新闻一周谈:Vista上市后的六大挑战》一文中所述,山伯认为RTM之后才是Windows Vista挑战的开始。
[RTM之后才是Windows Vista挑战的开始]
不管是在桌面操作系统市场还是服务器操作系统领域,Linux和Windows都存在着激烈的竞争关系。利益的对立与冲突使双方都不可避免地对对方产生敌意。