PCDVD數位科技討論區 - 瀏覽器安全無解？Firefox再爆安全漏洞

瀏覽器安全無解？Firefox再爆安全漏洞
瀏覽器漏洞連連　企業宜將Web安全列為重點防護項目
（記者曹乙帆／台北） 2005/09/15

前不久，eEye數位安全公司才發現微軟IE瀏覽器中最新的緩衝區溢位安全漏洞，如今，聲勢暴漲並被寄予厚望的Mozilla Firefox 1.5 beta版，也被揭露存在緩衝區溢位的安全漏洞，瀏覽器不斷上演的漏洞問題，再度突顯Web安全問題的嚴重性。

　日前eEye數位安全公司一口氣發佈多達9個與微軟產品有關的安全漏洞公告，其中並包括IE瀏覽器的安全漏洞，由於該漏洞可能導致緩衝區溢位，因此會引發駭客遠端入侵用戶電腦的可能性。該IE漏洞是繼微軟8月安全更新公告，以及8月底IE出現網頁攻擊安全漏洞之後的另一新安全問題。

　令人感到詫異的是，微軟原訂於9月發布的例行安全公告，卻因效能測試問題未解的理由而暫停，看樣子，企業面對Web攻擊之威脅，只能另謀解決之道。

　長久以來的問題，讓更換瀏覽器自然也成為企業降低Web安全風險的評估方案之一，其中，一直打著安全旗號的Firefox，更成為企業寄予厚望的最佳依靠與選擇，Firefox也因此打破微軟IE長久設下的重重藩籬，成功地奪取10％的市占率。

　可惜事與願違，Firefox並非想像中的那麼安全無虞。就在Firefox 1.5 beta測試版正式公告下載不久，1位名為Tom Ferris的安全研究人員發現所謂「國際網域名稱緩衝區溢位漏洞」（IDN Buffer Overflow）的安全問題，據Tom Ferris表示，該漏洞屬於緩衝區溢位漏洞，駭客可能藉此漏洞在網站上設計惡意的超長鏈結，並誘使使用者點取，進而遠端入侵使用者電腦並執行任意程式。

　儘管Mozilla質疑該漏洞的危險性與可利用性，但該基金會仍然立即在網站上發布緊急解決方案，其做法是將IDN功能關閉，並提供自動修正檔與手動修正步驟說明等2種方式供使用者選用。不過，該方案只是暫時的權宜之策，該基金會表示，將會在下個版本中提供正式的解決之道。

　不論IE或 Firefox，安全已成為今後瀏覽器改善的最主要方向，例如Firefox 1.5正式版將會提供更優化的防止彈出式視窗及自動升級等功能。至於微軟，為了強化Web安全，除了在下一版本的IE 7.0瀏覽器支援反網路釣魚功能外，目前並提供IE 6.0的反網路釣魚外掛程式；此外，IE 7.0並將建立非法網站黑名單的資料庫，提供使用者線上登錄查詢功能，讓使用者可以藉由資料庫中的聲譽指數，做為進入該網站是否安全的重要參考。

　圖說：Mozilla在網站上發布將IDN功能關閉的緊急解決方案，以解決IDN Buffer Overflow的安全問題。

http://www.digitimes.com.tw/n/artic...825707C003FF11E