|
近日,The Mozilla Organization(mozilla.org)公布了由网络浏览器和邮件软件等产品组成的套件软件“Mozilla”最新版本——Mozilla 1.7.3。同时,还公开了网络浏览器“Firefox 1.0PR”(预览版)和邮件及新闻阅读器“Thunderbird 0.8”。
Mozilla 1.7.3等软件修复了多个安全漏洞。据mozilla.org 的网页称,此次公布的最新版本相当于安全升级。据“Known Vulnerabilities in Mozilla”称,最新版本所修复的安全漏洞有10个。其中,尤其危险的安全漏洞是如下3个:
(1)Non-ASCII hostname heap overrun
(2)BMP integer overflow
(3)Buffer overflow when displaying VCard
(1)是无法正确处理含有非ASCII字符的长链接地址的安全漏洞。如果点击网页和邮件中记载的被人做了手脚的链接,就会发生缓存溢出。结果就可能运行任意代码(程序)。
(2)是无法正确处理BMP文件的安全漏洞。如果读入了被人做了手脚的BMP文件,就会使Mozilla等软件瘫痪,或者运行任意代码。
(3)是无法正确处理VCard的安全漏洞。VCard是指用来交换类似名片上记载的那些信息(名字、职称、地址等)的文件(规格)。在为了处理VCard而在Mozilla等软件内部定义后使用的writeGroup()函数中存在未经检查的缓存区。因此一旦读入被人做了手脚的VCard,应付地产生缓存溢出,运行任意代码。
|
English
