这项更新处理了Mozilla Firefox浏览器3.0.x. 版本中的两个独立的安全漏洞,用户可以通过浏览器帮助菜单上的“检查更新”获得,根据Mozilla官方博客显示。当然,用户也可以下载最新版本的火狐浏览器Firefox 3.0.8,Firefox 3.0.8早在一个礼拜前就已经处理了这些安全漏洞。
其中有一个漏洞补丁是一个与XSL解析相关的概念证明型内存破坏漏洞。这个被称为“crashing bug”的漏洞是在上周由一名意大利黑客发现的。
Mozilla修补的第二个漏洞的发现者是一个自称叫尼尔斯的黑客。他通过CanSecWest Pwn2Own黑客大赛赢得了15000美元。尼尔斯第一攻击Internet Explorer 8 ,找到了DEP(数据执行保护)和ASLR (地址空间布局随机化)漏洞。微软表示,这些漏洞都已经被修复。他还根据一个帐户中断了苹果的Safari浏览器。
尼尔斯是一个德国的计算机专业的25岁的学生,在活动期间仅仅透露了自己的名。他解释了他之所以能够入侵Firefox浏览器表明“XUL树方法moveToEdgeShift在某些情况下是触发垃圾收集的过程。”
这个漏洞导致了Firefox的崩溃。它可以引诱用户到一个有关拉登准备部署攻击的网站,使黑客能够在受攻击者的计算机上运行恶意代码。
在最新发布的更新中,Mozilla基金会将两个漏洞的评级都定为“严重漏洞” ,这是Mozilla的最高安全级别。Mozilla还表示,这两个漏洞也可以通过Firefox浏览器中禁用的JavaScript得到解决