Mozilla基金会警告,上周接获一名Firefox用户通知,一家俄罗斯新闻网站上的广告对Firefox发动攻击,搜寻用户电脑中的敏感个人资料,特别是FTP的设定资料,并上传到疑似位于乌克兰的伺服器。
Mozilla已释出修补程式,并呼吁所有Firefox用户更新到Firefox 39.0.3版,该修补程式也包含在Firefox ESR 38.1.1及Firefox OS 2.2中。
Mozilla首席安全专家Daniel Veditz指出,该漏洞存在于JavaScript内容机制与Firefox PDF Viewer的互动之中。Mozilla安全网页解释,这个漏洞可使黑客得以违反「同源政策」,并将JavaScript酬载(payload)注入内建PDF Viewer未受权限保护的部份,进而读取或窃取受害电脑上的敏感档案。不包含PDF Viewer的Mozilla产品,如Firefox for Android则未受影响。
在Windows版本上的Firefox,攻击程序搜寻的是Apache subversion、s3browser、Filezilla组态档.purple及Psi+帐号资讯、以及8个不同的知名FTP用户端软体的网站组态档。而在Linux上,攻击程序则搜寻常见的组态档如/etc/passwd,而在所有能存取的使用者目录中,则搜寻.bash_history、.mysql_history、.pgsql_history、.ssh组态档与密钥、Remmina、Filezilla及Psi+的组态档、名称中包含「pass」及「access」的文字档、以及所有shell script。Mac版Firefox用户不在此次攻击目标之列,但Veditz警告,如果骇客製作了别的攻击程式则不保证没风险。
Mozilla并指出,这次攻击的黑客不会在本机上留下踪迹,因此,Windows及Linux版Mozilla用户如果有使用上述档案,应变更所有密码。
