资安公司Secunia 20日公布了网页浏览器常见的两大安全问题,与浏览器文件夹标签(tabbed browsing )功能有关。这种功能普遍用于Mozilla 基金会的各种版本的浏览器、 Opera浏览器、支持Linux 的Konqueror 浏览器,以及两款第三方软件公司制作的微软Internet Explorer浏览器外挂程序。
KDE Project 已在19日发布的最新版Konqueror 浏览器中解决此问题。Mozilla 基金会工程部经理Chris Hoffman 说,两周后发布的Firefox 1.0 版会解决此问题。Opera 尚未针对此问题作出回应。
微软的IE浏览器则受两种更严重的漏洞所扰。自称“Http-equiv. ”的发现者指出,第一种漏洞扩大利用8 月已被发现的拖放功能的弱点,可能被用来在受害者电脑里植入恶意的超文本标示语言(HTML)源代码。
根据Secunia 的安全警示,第二种较严重的漏洞可以躲避Windows XP SP2安全升级套件的安全防护机制,让黑客在使用者的电脑上启动HTML文件。
这两项弱点若合起来使用,可让恶意网站在访问者的电脑上植入并执行源代码。上述弱点并非全新的发现,而是旧问题、新包装。
Secunia 的Kristensen说,标签浏览(tabbed browsing )弱点相当严重,应该尽速亡羊补牢,但不至于让整部系统都遭黑客挟持。
Http-equiv说,微软Windows XP SP2加强安全措施,例如限制外来程序在“本地区域”(local zone)执行的防护功能,有助于防止黑客滥用这类弱点。
