Mozilla公布Firefox升级补丁 3.1版本支持“色情模式”

　　随着开发下一代火狐3.1正式版的浏览器工作正在如火如荼地展开中，Mozilla公司于近日为其最新版本3.0.4和老版本的火狐浏览器推出了安全补丁。

　　Mozilla为其主流的火狐3版本的浏览器发布了至少九个重要的涉及安全和稳定的更新，这其中有四个安全升级补丁被评级为“非常重要”。除最新的3.0.4版本之外，Mozilla还为其老版本的火狐2浏览器发布了11个升级补丁，这其中有六个被评级为“非常重要”。除了为最新版本和老版本火狐浏览器发布升级补丁外，Mozilla公司于同一天测试了火狐3.1测试版浏览器软件，进一步推进了新版本浏览器的开发进度。

　　火狐3.0.4版本的“非常重要”的升级补丁包括有通过火狐浏览器自带的记录重置（session restore）功能的漏洞所带来的涉及到跨网站指令码（Cross Site Scripting，以下简称XSS）和脚本语言（JavaScript）权限提升的安全隐患。笔者提示，session restore功能是指当浏览器因异常原因崩溃或者不小心点了刷新按钮时候，能够自动保留之前填写的数据，这里面就极有可能涉及到用户账户和密码的个人安全隐私信息的泄露。Mozilla公司官方建议指出，记录重置功能能够被用来在另一个站点环境下运行脚本语言。但是作为潜在的安全隐患，任何可被利用的程序崩溃都可以迫使用户进入记录重置状态。

　　另一个漏洞修复补丁升级是针对位于超文本传输协议索引格式分析器（http-index-format parser）里的缓冲区溢出（buffer overflow）。Mozilla 将此漏洞的发现归功于IBM公司旗下X-Force安全集团的Justin Schuh。官方建议显示，“通过在超文本传输协议索引响应中发送特别制作的标题行，攻击者可以导致浏览器程序的崩溃并且在受害人的电脑商运行恶意代码”。此外，针对黑客通过本地快捷方式文件非法获取用户个人信息的安全隐患，考虑到攻击者此类非法获取用户信息操作的复杂性，Mozilla将此此安全修复补丁评级为“中等风险”。据了解攻击者若要完成此类攻击必须具备两个条件，第一个是一个URL（统一资源定位）的快捷方式文件，第二个则是该快捷方式文件能够潜在地被用来读取本地缓存信息，一旦用户同时下载了一个HTML文件和一个URL（统一资源定位）的快捷方式文件到本地硬盘里，用户的个人信息就存在很大的危险。

　　火狐2版本和火狐3版本的更新大多是一致的，但有少数例外，这其中最重要的安全补丁就是涉及到Adobe Flash Player以及潜在的恶意代码执行的隐患。据官方介绍文字显示，该类安全隐患往往在有关Flash播放器模块合理加载检查不充分的情况下才会爆发安全问题，一个Flash文件如果不能被合理加载可能会导致连锁的程序崩溃，而这却为恶意代码的执行大开大门。此外，还有更多的针对火狐2系列版本的升级补丁，比如通过canvas和HTTP（超文本传输协议）重新定向的图片偷窃，官方介绍文字显示，一个简单的HTTP重新定向可以被用来潜在地偷窃用户登陆某个存储图片站点的隐私信息。

　　尽管Mozilla依旧在升级火狐2系列版本的浏览器，但是官方还是强力推荐用户将浏览器版本升级至3.0.4，据了解，Mozilla早自八月份已经为火狐2系列版本用户提供了直接的升级途径，2系列版本也将会在今年年底结束自己的历史使命。火狐3已于今年6月17日发布，而火狐2早在2006年10月份就已经推出。

　　目前火狐3.0.4版本浏览器用户将在不久的将来有机会升级到一个全新的平台上。Mozilla当前所开发的火狐3.1版本浏览器将包括有一个个人的情色模式功能，在这一模式中浏览的成人网页将不会留下任何记录以及cookies，此外新版本在安全性以及性能表现上有着很大的提升。

　　据了解火狐3.1测试2版本原定于本周发布但是由于种种原因被推迟，Mozilla决定于本月15日来公开测试火狐3.1测试2版本，但遗憾的是火狐3.1正式版发布的时间依旧没能公布。