Firefox外掛更新有漏洞 Google Toolbar在列
令此一漏洞更為嚴重的問題是,部份業者例如Google甚至關閉了詢問使用者是否更新的功能,更加讓駭客可以在使用者不知情的狀況下下載並安裝惡意程式。
一名印地安那大學資訊所博士班學生Christopher Soghoian上周在部落格中揭露了Firefox附加程式潛藏了遠端攻擊漏洞,其中受影響的包括Google在內的各式工具列(toolbar)程式。
Christopher Soghoian說明,Firefox提供一些讓其他業者可以開發在該瀏覽器上執行應用程式的功能,例如附加程式。同時,Firefox也有一個更新機制,讓這些附加程式連結到網路伺服器上檢視是否有更新版,當發現更新版時,一般而言,附加程式會詢問使用者是否要進行更新,並下載與安裝新的程式碼。
而這個可能受到攻擊的漏洞就存在該更新機制中,主要是因為有些第三方業者的程式更新伺服器並沒有採用SSL加密技術,因此可以讓駭客利用來散布惡意程式。令此一漏洞更為嚴重的問題是,部份業者例如Google甚至關閉了詢問使用者是否更新的功能,更加讓駭客可以在使用者不知情的狀況下下載並安裝惡意程式。
Christopher Soghoian指出,駭客可能透過「中間人」(man in the middle attack)的攻擊手法來攻擊此漏洞,駭客必須先讓電腦相信該更新伺服器是正牌的,然後讓電腦下載並安裝惡意程式。
Christopher Soghoian還點名了眾多知名但具有危險性的Firefox附加程式,包括Google Toolbar、Google Browser Sync、Yahoo Toolbar、Del.icio.us Extension、Facebook Toolbar、AOL Toolbar、Ask.com Toolbar、LinkedIn Browser Toolbar、Netcraft Anti-Phishing Toolbar及PhishTank SiteChecker等。Christopher Soghoian說,其實有漏洞的附加程式更多,但族繁不及備載。
一般而言,未經SSL技術保護的伺服器網域名稱開頭為http://,而採用SSL技術的則會顯示出https://,若第三方業者的更新伺服器上未採用SSL技術,那麼,當使用者在公開且未加密的無線網路中、或是使用者家中的路由器曾透過網址嫁接(pharming)被駭,都有可能受到攻擊。
Christopher Soghoian建議業者可以把自己的附加程式透過Mozilla的安全下載網站傳送給使用者,使用者也可以先移除非來自Mozilla官方或安全網站的附加程式,再重新自Mozilla官方網站下載。
Christopher Soghoian在今年4月發現此漏洞時,就曾經將其研究提供給相關業者,其中,Google表示會在5月底前修補該漏洞。
聲明:
※本處所提供的所有資源均由在網上搜集而來,若有侵權敬請告知。
※任何涉及商業盈利目的均不得使用,否則一切後果由下載者承擔。
※僅作為個人測試使用,測試完畢請於下載後24小時內將其刪除。
※請勿製作成任何形式的光碟用以兜售販賣或任何圖謀盈利之行為。
※敬請尊重智慧財產權,請購買正版有保障之商品,並請支持正版。
※本空間不對任何資源或內容負起任何相關法律責任。
