【IT168 专稿】7月10日，安全公司Secunia的工程师曾发布了一个等级为“高度危险”安全公告，警告使用火狐浏览器的用户，他们的浏览器可以被欺骗来执行任意恶意代码。不久之后，Mozilla的开发者针对此事发表声明，表示这个问题是由于IE浏览器所引起的。Mozilla的这个结论遭到了业界安全专家的批评。近日，Mozilla安全主管Window Snyder不得不宣布收回这个说法，表示火狐浏览器自身也存在安全漏洞，并非全是IE的问题。

    这个问题最初由丹麦安全工程师Thor Larholm发现，上个月苹果的Safari浏览器Windows预览版发布后两个小时，他就发现了其中的安全漏洞，他因此受到安全界的赞赏。这次他又发现了IE浏览器中的零日漏洞。

    同样的，这个问题在火狐浏览器中也存在，火狐的FirefoxURL://资源识别器的处理器可以运行嵌入在使用这个标识符的URL中的JavaScript代码。在Secunia公布Larholm的发现的那天，Mozilla采取了措施来缓解用户的恐惧，在其安全博客中表示，“有很重要的一点需要记住，假若你正在使用火狐浏览器浏览网页，你不会受到这个安全缺陷的威胁。”

    事后有安全专家称，虽然按照Larholm所描述的方法来无法实现他所描述的攻击，但是即使Larholm所说的是真的，用户也可以通过简单的从命令行中注销Mozilla自身的处理器，从而消除这个缺陷被利用的可能性。言下之意是，火狐不存在安全缺陷。

    同时，Mozilla的安全博客重复了一微软发言人的评论：它不会发布补丁来修补这个缺陷。

    7月18日，Mozilla发布了火狐2.0.0.5，从表面上解决了Firefox受到来自IE的恶意定制URL的问题。在其安全博客中，Mozilla的Snyder表示，“这个火狐的补丁可以防止火狐接收来自IE的恶意数据。微软需要修补IE，不过它们似乎还没有计划这么做。”

    这个评论激怒了前微软安全专家Johannson，两天后他回击说，“那些坐在玻璃房子内的人不应该往外扔石头。”他用例子证明火狐也存在安全漏洞，他展示了如何通过一个恶意URL传输数据到其它应用程序的例子，其中包括即时通讯多账号登陆软件Trillian。

    今天早晨，Snyder被迫收回了她的观点。“我们曾经认为这只是IE的一个问题，”她写到，“事实证明，火狐也存在同样的问题。我们相信深度防护是最好的保护人们的方式，因此我们正在研究这个问题。”