Firefox被曝严重漏洞：搜索并上传本地用户敏感文件

北京时间8月8日消息，据科技博客ZDNet报道，Mozilla公司日前表示，由于在Firefox浏览器上发现一处严重级别安全漏洞，可能导致用户敏感信息外泄，为此敦促用户立即升级至Firefox的最新版本。

本周早些时候，安全研究员科迪·克鲁斯（Cody Crews）在使用Firefox浏览器登录一家俄罗斯新闻网站时，发现该网站一条恶意广告利用了Firefox浏览器PDF阅读器上的一处漏洞，将用户本地文件系统内的敏感文件上传至位于乌克兰境内的服务器上。克鲁斯随后将这一漏洞信息通知了Mozilla。

Mozilla表示，最新的Firefox 39.0.3版本、及Firefox ESR 38.1.1拓展版本浏览器均修复了这一漏洞。此外，那些不含PDF阅读器的Firefox浏览器版本，比如Android版Firefox浏览器等未受到该漏洞影响。

Mozilla安全主管丹尼尔（Daniel Veditz）表示，这一安全漏洞来自执行JavaScript上下文分离和FirefoxPDF阅读器之间的互动机制，“该漏洞不执行任何代码，但利用该漏洞可以将JavaScript嵌入到本地文件当中，从而使之可能搜索并上传本地敏感文件。”

丹尼尔表示，Mac电脑用户未受到该漏洞影响。但他同时警告称，“该漏洞运行后在本地机器上不会留下任何痕迹。如果你在Windows或Linux电脑上使用了Firefox浏览器，应该审慎地修改任何的登录口令和密码。”

上月，Firefox浏览器曾被曝出两处UAF（use-after-free）安全漏洞，以及其他11处不同级别的重大安全漏洞，迫使Mozilla发布了Firefox 39浏览器的更新版本。（编译/若水）