PacketStormSeurity.org网站公布的恶意代码已确认在Windows XP SP2和Firefox 1.5环境下有效。该代码主要利用了Firefox无法正确处理超长历史信息的bug。攻击者可以在浏览器所需的history.dat文件中加入超长历史信息,并引诱用户访问一个标题超长的恶意站点,从而导致Firefox崩溃。
Packetstorm Security警告说:“虽然目前只证明恶意代码可导致用户受攻击后无法重新打开浏览器,但不排除在某些情况下导致远程代码执行的可能性。”
Mozilla基金会工程副总裁Mike Schroepfer表示,初步调查显示,利用该bug无法进行代码执行操作。他说:“导致代码执行的说法是毫无根据的。虽然的确会引起DoS攻击,但我们目前还没有接到这方面的报告。我们也对源代码进行了检查,认为问题并不严重。总之,尚无确切证据证明会导致DoS攻击之外的麻烦。”
Schroepfer还说,Mozilla工程师们已经分析了浏览器内置错误报告工具反馈的数据,除了攻击可引起处理器和内存占用率过高之外,没有发现其它问题。
安全公司Secunia对此次漏洞的分类为“非危急”级别,同时建议用户手动移除history.dat文件或设置为浏览器关闭时自动清空历史信息。
标签:
