前几天,老外说Firefox在Javascript解释上有严重的漏洞,通过这个漏洞写出的程序,可以控制客户端的电脑,并且Firefox的这个漏洞不是简单的打个补丁就行,而是严重到要重新编写Firefox的核心程序.比较戏剧化的是漏洞的发现者Mischa Spiegelmock与Andrew Wbeelsoi在几天之后,由Spiegelmock修正了他们的说法,说他们发现了火狐的漏洞,但是从未通过这个漏洞控制过用户的电脑.
Spiegelmock表示:“我们发布的主要目的是好玩,我向所有相关的人道歉,希望我已经尽可能地澄清每件事。”至于他们宣称还知道30个尚未修补的 Firefox漏洞,Spiegelmock完全推给另一位黑客Wbeelsoi:“我没有未揭露的Firefox漏洞,和我一起发言的人这么说,而我真的不知道他到底有没有。”
呵呵,原来是为了好玩,忽悠了一下大众,并且给Mozilla的Firefox项目组带来不少麻烦.
用火狐浏览器很久了,事实上没有碰到什么安全问题,除了部分网页不能正常显示,没有发现在Firefox能沾染网页病毒,木马或者什么流氓软件,我下这个断语,完全是依靠我机器下边的kaspersky 5,我称之为卡5,由于卡5好象并不嵌入Firefox浏览器中,因此到底有没有中过招,我并不能说 i'm sure, 100 per cent. who can?!
由于IE在浏览器市场上占着绝对统治地位,因此IE成为黑客、小偷和流氓软件制造商的重点研究对象,可以肯定的一个猜测是,研究IE漏洞的黑客占研究全部浏览器漏洞者之比例,大于IE市场占有率.
火狐浏览器由于是可以免费下载防病毒的浏览器,因此在流氓软件,病毒泛滥成灾的今天,Firefox的市场份额有所增加,这除了Firefox本身的优秀品质,还应该记Google的强力推广一功.
市场份额提高到一定的程度,Firefox也顺理成章的成为一个非常有潜力的"被黑"对象,有程序就有Bug,就象是有书就有印刷错误一样的合理,如果世界IT人民无法发现一个二个FF的漏洞,那到是真的奇怪了.
我仍然极力推荐Firefox给周围的人,纵然有可能在某一天会曝一个真正的0day大漏洞,因为我相信有Mozilla Firefox团队的努力,Firefox会及时克服各种技术困难,因为他们参加到这个公益项目中来,是带着某些信念加入的.
图: 为Firefox开发贡献力量者,点于帮助,关于,再点一下左边按钮就能看到。
Google会给加入推广带Google工具条Firefox的站长们一些收入,这些金钱,并不是我推荐FF的唯一理由。
使用IE,必须不停地和流氓软件做斗争,这种斗争对于一般的用户,实在是没有什么意义的,不如跳出纷纷扰扰的IE乱局,大声地告诉流氓们:我不玩了!
附:
0day,关于0day或者Zero_day的解释,中文维基要比英文版有所差别,中文仅指出了0day是指首次发布的软件、电影等。 而英文维基则对 zero-day exploits 给出了比较详尽的解释:
Exploits and vulnerabilities Zero-Day exploits are released before, or on the same day the vulnerability — and, sometimes, the vendor patch — are released to the public. The term derives from the number of days between the public advisory and the release of the exploit. [1] [edit] Protection Zero-day protection is the ability to provide protection against zero-day exploits. Since zero-day attacks are generally unknown to the public, it is often difficult to defend against them. Zero-day attacks are often effective against secure networks and can remain undetected even after they are launched. Many techniques exist to limit the effectiveness of zero-day memory corruption vulnerabilities, or buffer overflows. These protection mechanisms exist in contemporary operating systems such as Sun Microsystems Solaris, Linux, Unix, and Unix-like environments. Versions of Microsoft Windows XP Service Pack 2 and later include limited protection against generic memory corruption vulnerabilities
0day漏洞攻击是指在官方发布Patch之前的漏洞,因此是绝大多数的机器都易于受攻击,没有任何保护,类似无药可救的状态。最常的0day漏洞都是由黑客或者安全组织发布的,有时甚至会给出攻击代码,尤其是IE的0day 漏洞,对于写流氓软件、病毒、木马都是非常重要的,0day漏洞和官方Patch出现之间,这个窗口期,是传播的最佳时期。
更多FireFox下载和应用问题请参见火狐浏览器网站
