这一漏洞是又 Michal Zalewski 于新版 Firefox 发布当日就发现的,目前已经得到了 Mozilla 官方的确认。由于此漏洞的存在,攻击者可以构建一个恶意 Html 文件,执行特定的 JavaScript 命令即可让 Firefox 崩溃,甚至可以完全控制用户系统、远程执行任意代码。Michal Zalewski 还提醒“该漏洞很危险,且非常容易被利用”。不过目前还没有关于该漏洞被实际利用的报告。
Mozilla 此次放出 Firefox 2.0.0.2 版本,主要就是解决火狐狸浏览器上存在的“location.hostname”漏洞和其他安全问题以及在系统稳定性方面存在的一些问题,Mozilla 方面一直强烈建议用户升级,岂料旧的问题刚解决,新的问题就接踵而至。
Mozilla 已经将这个漏洞定级为“危险”,建议用户暂时关闭 Firefox 中的 Javascript。
