Mozilla拒绝承认新的火狐浏览器漏洞是安全风险

DoSECU 安全报道 7月23日消息:Mozilla拒绝承认Firefox 3.5中存在的漏洞是一种安全缺陷,之前有报道称公司最新的浏览器包含一个缺陷,尽管公司刚刚对其打过补丁。

在Mozilla公司安全博客的周日博文中,公司工程部副总裁Mike Shaver表示,最初由milw0rm黑客网站公布的这个漏洞并不是一种安全缺陷。新闻媒体和各种安全机构的报道错误的认为这是一种带有危险性的漏洞。Shaver强调说"我们的分析师认为这个漏洞不具备风险性,我们至今还没有看到任何漏洞被攻击者利用的案例"。

上周三milw0rm公布了漏洞代码。火狐浏览器的研发人员立即将漏洞记录在Mozilla公司用来更改和追踪漏洞的数据库-Bugzilla中。

Shaver继续声称,这个漏洞确实存在于Firefox 3.5和最新的3.5.1版本中。但是攻击者无法通过注入恶意代码的方式来利用这个漏洞去攻击系统。漏洞会波及火狐浏览器运行的Windows, Mac和Linux操作系统环境,在尚未完全成型的Windows 7系统上运行的火狐浏览器也包括在内。

Shaver在博客上和Bugzilla上的研发人员都强调说火狐浏览器在Mac系统上出现问题是归咎于苹果电脑操作系统本身的漏洞,特别是ATSUI系统库。Shaver表示"我们已经将这个问题提交给苹果公司,但是在此次事件中他们并没有提供我们希望能缓解Mozilla代码的修正"。

Mozilla的研发人员Vladimir Vukicevic认为"苹果不可能去修正这个漏洞。我们过去就将这个问题和类似的漏洞汇报给苹果公司;迄今为止他们没有对修正子系统漏洞的工作表现出任何兴趣,特别是如果这些漏洞是在ATSUI而不是在CoreText中"。

另一位Mozilla的负责人暗示称Mac OS X漏洞也可能对其他浏览器造成影响。Andreas Gal是美国加利福尼亚大学的项目科学家,也是Mozilla新增到火狐3.5版本中的TraceMonkey JavaScript引擎的主要负责人,他表示"会有越来越多的用户去使用满是漏洞的应用编程接口吗?"。

就是在上周四,Mozilla公司首次对火狐3.5版本进行了补丁,针对TraceMonkey JIT编译器中的一个关键漏洞发布了修正。在准备漏洞的修正补丁时,研发人员推测黑客通过Bugzilla发现了有助于他们利用安全缺陷的信息。

Mozilla对这个最新的漏洞进行了控诉。火狐总监Mike Beltzner在评论中表示"我不确认该对它做些什么。上周公布漏洞代码的黑客是宣称创建了最新攻击代码的两人中的一个"。

Gal拒绝对黑客的挑衅推出解决方案的建议,他表示"谈论出现了什么问题让我感到很不愉快,或许在某些情况下问题更加严重"。

迄今还没有针对碰撞漏洞的修正发布。

根据Mozilla网站的说法,他们计划在本月底或者8月初为火狐发布另一个升级版本,名为火狐3.5.2。