【IT168专稿】安全研究员Thor Larholm发现同时使用IE和Firefox会引发零日攻击的危险。至于这个零日漏洞是在IE上还是在Firefox上，目前仍未有定论。但对于这点，更多的是要找到一种可拦截这种攻击的方法，否则它将导致用户遭受远程系统攻击。

　　Larholm在7月10日最初揭露这一漏洞时认为，这是IE的一个输入校验的漏洞，它允许用户指定任意自参量来处理URL协议。这跟他早先在苹果的Safari 3 beta上所发现的输入校验漏洞是一样的。

　　不过，现在对于这一点，Larholm则保持了中立姿态。"两者都得负部分责任，"Larholm揭露这个漏洞细节后说道。"Firefox不应该允许[IE去传递]这一恶意代码，但[IE]也不应该允许该引用在输入中被传递到命令行。"

　　虽则Larholm说法已作改变，但两个浏览器拥护者仍继续认为是对方责任。

　　"胡说八道，" 对Larholm这样种说法，Michael Mattsson表示。"这不应该是调用程序的责任。这是目标应用（如，Firefox）的责任，它应确保所传递的参数包含适当的转义码，防缓冲区溢出。IE（或其它调用程序）作为一个完全独立的第三方如何能知道什么代码、参数等。"Mattsson及其他认为这是Firefox缺陷的一方指出，有许多其它方法证明在使用IT前这一漏洞就已被曝露出来。Mattson还补充道："大多数可启动一个URI的程序都可能曝露出Firefox的这个缺陷。"

　　对此，认为责任在IE上的另一方则认为，IE已能完全知道如何正确格式化"FirefoxURL"参数。Jonathan Landis就指出，这看起来更象是IE弄糟了所有外部文件处理程序启动，目前这个缺陷就是一个例子，其对Firefox造成了一定影响。"在这里指责Firefox未能抓住该恶意脚本就好像指责SQL server不能抓住一段恶意的查询语句一样可笑，"Landis写道。"该调用协定是明显地避开这些引用，若您的请求故意未进行处理，将可能导致意想不到的后果。"

　　关于这点，微软安全系统经理Jesper Johansson在他的博客中表示：如何去执行输入检验，是完全不关IE协议处理程序的事，这个问题很明显是Firefox的问题。他还表示："IE的唯一责任是拿到那些要传递给协议的参数，传输到协议处理程序。而Firefox不能正确验证出这些参数，所以所有这些补丁须由Mozilla提供，而不是微软。"

　　到目前为止，双方仍各持一词，互不相让，究竟责任在哪一方，争论仍在继续。

　　不过对于这个安全漏洞如何解决？ Johansson则表示：拦截这个零日攻击，归结到底就是要删除掉Firefox协议处理程序；在单台计算机上运行以下这些命令即可完成这项操作：

　　reg delete HKCR\FirefoxHTML /f
　　reg delete HKCR\FirefoxURL /f
　　reg delete HKCR\Firefox.URL /f

　　若要删除多台设备上协议处理程序，可通过分组策略脚本和SMS包来实现；若要完成数千台设备的这种修复，则可通过创建一个批处理文件作为启动脚本来运行。

　　同时为支持对协议处理程序的恢复，Johansson强力推荐在安装Firefox的设备上运行以下命令：

　　reg export HKCR\ backup.reg

　　他表示："这样将创建一个reg脚本文件，一旦Mozilla提供修复这个问题的补丁，您就可以通过它来重新导入这个配置。"

　　而Mozilla首席安全官Window Snyder则许诺要为火狐浏览器发布一个补丁。但是，她表示发布这个补丁只是为了保护自己的客户，并不是因为火狐浏览器是引起这个安全漏洞的原因。

　　总之，责任在谁可以讨论，解决这一零日漏洞问题才是当务之急。