在Packetstorm Security公布针对Firefox 1.5缓冲溢出漏洞的恶意代码之后,Mozilla基金会立刻作出了回应,不过他们并不看重这次安全威胁,坚持认为此次暴露的Bug只是一个小小的烦恼,而非严重的安全漏洞。
PacketStormSeurity.org网站公布的恶意代码已确认在Windows XP SP2和Firefox 1.5环境下有效。该代码主要利用了Firefox无法正确处理超长历史信息的bug。攻击者可以在浏览器所需的history.dat文件中加入超长历史信息,并引诱用户访问一个标题超长的恶意站点,从而导致Firefox崩溃。
Packetstorm Security警告说:“虽然目前只证明恶意代码可导致用户受攻击后无法重新打开浏览器,但不排除在某些情况下导致远程代码执行的可能性。”
Mozilla基金会工程副总裁Mike Schroepfer表示,初步调查显示,利用该bug无法进行代码执行操作。他说:“导致代码执行的说法是毫无根据的。虽然的确会引起DoS攻击,但我们目前还没有接到这方面的报告。我们也对源代码进行了检查,认为问题并不严重。总之,尚无确切证据证明会导致DoS攻击之外的麻烦。”
Schroepfer还说,Mozilla工程师们已经分析了浏览器内置错误报告工具反馈的数据,除了攻击可引起处理器和内存占用率过高之外,没有发现其它问题。
安全公司Secunia对此次漏洞的分类为“非危急”级别,同时建议用户手动移除history.dat文件或设置为浏览器关闭时自动清空历史信息。
