REDJACK的異想世界生活點滴

資安業者於近日相繼指出Firefox 3.5中的JavaScript編譯器出現重大漏洞，駭客可利用該漏洞遠端執行惡意程式。Mozilla已於周二（7/14）證實該漏洞，並表示正在修補中，一完成即會提供更新。

US-CERT表示，該漏洞的產生肇因於Firefox 3.5中處理JavaScript程式時出現錯誤，駭客可趁機執行任意程式，而且相關的攻擊程式也已被公開。

Secunia則說，該漏洞現已證實會影響Firefox 3.5版，其他的版本亦可能受到波及。

不論是資安業者或Mozilla都將該漏洞列為重大漏洞。Mozilla說明，駭客可以引誘使用者造訪含有惡意程式的網站，並攻擊該漏洞，關閉Firefox JavaScript引擎中的JIT（Just-in-time）功能有助於減輕該漏洞的威脅。

Mozilla已提供關閉JIT的步驟，但提醒使用者關閉該功能會影響JavaScript的效能，而且只建議作為暫時性的安全措施。一旦使用者部署該漏洞的更新，就要再開啟JIT設定。使用者亦可在安全模式下執行Firefox，以自動關閉JIT功能。

Mozilla甫於6月30日釋出Firefox 3.5，目前全球下載量已達2680萬次，下載前五名分別是美國的600萬次，德國的300萬次，日本及法國的100萬次，英國的99萬次等，台灣下載量僅有22萬。（編譯/陳曉莉）

轉貼於iThome  http://www.ithome.com.tw/itadm/article.php?c=56006