一個名為 Mozilla Security Blog 既網誌發現 Firefox 系統重大漏洞,俄羅斯新聞網站可以輕輕鬆鬆係用户完全不知情情況下,竊取用户數據將佢上載至烏克蘭伺服器。
今次既漏洞其實係來自 Firefox 自身既 PDF 閱讀器同埋 JavaScript 注入用户電腦,從而搜尋用户本地檔案同上傳呢啲檔案。只要你曾經打開過呢啲含惡意程式既網頁,就會默默咁受到竊取而又完全唔知情。不過有趣既係,被竊取而上載既大多數都係與開發者有關既檔案: FTP 配置文件﹑ .purple 同埋一啲用户訊息。而係 Linux ,則會係搜索所有配置文件同用户目錄。 Mac 既用户幸好並無成為特定攻擊目標,但如果之後 keep 住唔更新可能就難以獨善其身啦。
今次既襲擊似乎並唔普遍,只有睇過俄羅斯廣告網頁既用户先受到影響,但唔排除之後會有機會傳播到更多其他人。要防範,就應該盡快更新到 39.0.3 版本,而企業版就為修補版 38.1.1 。
Mozilla Security Blog – Firefox exploit found in the wild :請按此
來源: The Next Web
