Mozilla于7月20日发布了Firefox 3.6.7,以修补14个安全漏洞,但周五(7/23)再发布Firefox 3.6.8以修补3.6.7所造成的重大漏洞。
Firefox 3.6.7所修补的14个漏洞中,有一用来存储后门程序参数元素的名称及数值的程序出错,若有恶意网页嵌入含有大量参数元素的程序内容,那么就可能导致整数溢位,而造成远端恶意程序的攻击。虽然Mozilla在Firefox 3.6.7中修补了此一重大漏洞,但继之Mozilla开发人员Daniel Holbert却发现该修补程序可能导致内存毁坏,而使得Firefox挂掉。
根据Mozilla的说明,更严重的是在特定情况下,后门程序的参数阵列可能因过早释出而留下一个可供后门程序执行的悬置指标,可能遭到黑客利用。
有不少使用者在更新至Firefox 3.6.7后发现问题,有用户宣称只要是连结到含有Flash技术的网站Firefox就会当掉,而使得它无法观赏YouTube影片,无法浏览Facebook,并将当机报告张贴到论坛上,当时亦有使用者建议只要回复至先前的版本就可以解决上述错误,透露出的确是3.6.7的更新发生问题。
使用者可自Firefox浏览器上的说明功能表列中选择检查更新以确认目前所使用的是否为最新版本。