快更新! Firefox爆零时差漏洞,骇客用来专偷FTP设定资料
Mozilla基金会告诫,上周接获一名Firefox用户通知,一家俄罗斯新闻网站上的告白对Firefox发动打击,搜寻用户电脑中的敏感个人资料,分外是FTP的设定资料,并上传到疑似位于乌克兰的伺服器。
Mozilla已释出修补程式,并呼吁全部Firefox用户更新到Firefox 39.0.3版,该修补程式也包含在Firefox ESR 38.1.1及Firefox OS 2.2中。
Mozilla首席宁静专家Daniel Veditz指出,该毛病存在于JavaScript内容机制与Firefox PDF Viewer的互动之中。 Mozilla宁静网页表明,这个毛病可使骇客得以违背「同源政策」,并将JavaScript酬载(payload)注入内建PDF Viewer未受权限保护的部份,进而读取或窃取受害电脑上的敏感档案。不包含PDF Viewer的Mozilla产品,如Firefox for Android则未受影响。
在Windows版本上的Firefox,打击程式搜寻的是Apache subversion、s3browser、Filezilla组态档.purple及Psi+帐号资讯、以及8个不同的知名FTP用户端软体的网站组态档。而在Linux上,打击程式则搜寻罕见的组态档如/etc/passwd,而在全部能存取的利用者目录中,则搜寻.bash_history、.mysql_history、.pgsql_history、.ssh组态档与密钥、Remmina、Filezilla及Psi+的组态档、名称中包含「pass」及「access」的文字档、以及全部shell script。 Mac版Firefox用户不在此次打击目标之列,但Veditz告诫,要是骇客制作了别的打击程式则不包管没风险。
Mozilla并指出,这次打击的骇客不会在本机上留下踪迹,因此,Windows及Linux版Mozilla用户要是有利用上述档案,应变更全部密码。
- 文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。
TAG:
评论加载中...
|