比预想严重：FireFox现图像处理漏洞

<script type="text/javascript"><!--google_ad_client = "pub-2299987709779770";google_ad_width = 728;google_ad_height = 90;google_ad_format = "728x90_as";google_ad_type = "text_image";google_ad_channel ="";google_color_border = "FFFFFF";google_color_bg = "FFFFFF";google_color_link = "0000ff";google_color_url = "008000";google_color_text = "000000";//--></script><script type="text/javascript" src="http://pagead2.googlesyndication.com/pagead/show_ads.js"></script>

研究人员表示，在Firefox 1.5.0.3中发现的新隐患可能会导致拒绝服务攻击。这个漏洞由于浏览器处理图像标签的方式引起的。SANS Internet Storm Center首先报道了这个问题，经过深入的研究发现这漏洞会被恶意的利用。

人们开始以为这个漏洞不会被利用，因为带有超链接的“图片”被打开时会调用Media Player来播放后缀为“.wav”格式的文件。然而，现在研究人员表示，这个漏洞联合java script就能够打开邮件客户端并通过“mailto：”命令打开多个窗口。

研究人员表示，这样的话，最终系统就会停止响应。据某个Web Log表示，这是一个概念验证代码，更坏的是img xsrc=的标签可以被用来打开几乎任何东西。

myITforum.com的Chris Mosby提供了几个避免这个漏洞被利用的建议。其中一个可行的方法是，关闭Firefox中的邮件自动启动。他还补充道，用户应该禁用java script或同时屏蔽“mailto：”。

目前Mozilla还没有就这件事做出评论 

<script type="text/javascript"><!--google_ad_client = "pub-2299987709779770";google_ad_width = 468;google_ad_height = 60;google_ad_format = "468x60_as";google_ad_type = "image";google_ad_channel ="";google_color_border = "FFFFFF";google_color_bg = "FFFFFF";google_color_link = "0000FF";google_color_url = "008000";google_color_text = "000000";//--></script><script type="text/javascript" src="http://pagead2.googlesyndication.com/pagead/show_ads.js"></script>
<script type="text/javascript"><!--google_ad_client = "pub-2299987709779770";google_ad_width = 728;google_ad_height = 15;google_ad_format = "728x15_0ads_al_s";google_ad_channel ="";google_color_border = "FFFFFF";google_color_link = "0000ff";google_color_bg = "FFFFFF";google_color_text = "000000";google_color_url = "008000";//--></script><script type="text/javascript" src="http://pagead2.googlesyndication.com/pagead/show_ads.js"></script>