请注意,Mozilla Firefox用户。您需要在计算机上启动浏览器并立即下载最新版本。 Mozilla发布了一个重要的更新程序,修复了一个安全漏洞,该漏洞可能会让黑客从您的硬盘驱动器中窃取文件。
显然,俄罗斯网站上的广告刊登了一个漏洞,该漏洞注入了Javascript有效负载进行搜索和将敏感文件从您的PC上传到基于乌克兰的服务器。
您需要做什么
如果由于某种原因不能解决问题,请下载适用于您操作系统的最新Firefox版本并进行安装。
您还需要做什么
警告说,Firefox认为该漏洞利用程序不会在计算机上留下任何痕迹,因此,如果您的计算机受到影响,则无法知道。因此,Mozilla建议更改与以下内容关联的程序和文件的密码和密钥:
在Windows上: subversion,s3browser和Filezilla配置文件,.purple和Psi +帐户信息,以及来自八个不同的流行FTP客户端的站点配置文件
在Linux上::全局配置文件(例如/ etc / passwd),然后可以在所有用户目录中访问它,以查找.bash_history,.mysql_history,.pgsql_history,.ssh配置文件和密钥,remina,Filezilla和Psi +的配置文件,名称中带有“ pass"和“ access"的文本文件,以及任何shell脚本
与大多数黑客和漏洞一样,我们建议您在本地和在线服务中更改所有密码。这是安装DashLane之类的程序的另一个很好的理由,该程序会自动跨服务更改密码。
为什么如此紧急
“敦促所有Firefox用户更新到Firefox 39.0 .3,"该公司在其博客上写道。
根据Firefox,该漏洞利用程序允许某人“违反相同的来源策略,并将脚本注入到内置PDF的非特权部分中查看者。
由于它仅限于Firefox中的内置PDF查看器,因此它仅影响浏览器的桌面版本,而没有影响。没有此功能的Firefox Mobile。
谁可能是安全的
无法保证任何人都是安全的,但是根据Firefox的披露,某些类型的用户可能不会被影响。尽管如此,作为预防措施,我们建议您执行上述步骤。
Mac用户: Mozilla指出,它没有发现任何证据表明Mac用户是此漏洞利用的目标,
广告拦截用户:我们不建议使用广告拦截器,但在这种情况下,它可能使某些用户免受了攻击,因为它是通过广告提供的。
其他浏览器用户:如果您使用的不是Firefox,请不要担心。你安全了。继续。
为什么其他浏览器安全?
看,没有浏览器是完全安全的,此类漏洞继续发生。就是说,由于以下简单原因,无法在Google Chrome或新的Microsoft Edge上实现这种特殊利用:完全安全的沙箱。
虽然使用基本的沙箱,但Firefox并未将其自身与垃圾箱完全隔离。操作系统。正如How-To Geek所解释的那样,Chrome,IE,Edge和其他应用程序以尽可能少的用户权限运行浏览器进程。将此视为同心圆:
如下图所示,对于Firefox,利用漏洞必须穿越Firefox并到达操作系统。使用Chrome或IE,它需要先通过浏览器,然后再通过将其与操作系统分开的“沙盒"来获得。这意味着该漏洞利用程序需要针对两个漏洞而不是一个漏洞,这不是一件容易的事。
这种事情使某些人说Firefox是最不安全的浏览器。
使用Firefox吗?
这不是那么简单。 Sophos的高级安全顾问Chester Wisniewski告诉CSO Online,沙箱是阻止攻击的有用工具,但并不是安全浏览的要求。 Wisniewski自己使用Firefox作为个人浏览器。
在最新版本中,Firefox默认情况下会阻止Flash,因为该插件通常被证明是利用漏洞的门户。
Mozilla所采取的快速行动也应受到赞扬。他们在8月5日上午发现了此漏洞,并迅速工作以在第二天发布关键更新。作为用户,很高兴知道该公司会迅速修复缺陷。
您会继续使用Firefox吗?
虽然沙盒使其他浏览器更安全,但Mozilla表示也正在使用适当的沙箱。另外,它还具有多个插件来保护您的隐私和安全。
最后,使用Firefox是个人选择。 在最近的这次攻击之后,您仍然会继续使用Firefox吗?在评论中让我们知道。
图片来源:geralt / PNG,Junior Gomes / Freeimages,Geralt(2)/ Pixel,Geralt(3)/ Pixel,Evan Lorne / Shutterstock.com
标签: 计算机安全 Mozilla Firefox 安全漏洞