demo@virushuo

firefox终于出了大漏洞，这是第一个被列入"高危险性"级别的bug。



mozilla组织的动作还是很快的，现在已经有1.0.4的版本可以下载了。这次花费的时间比以前长，用了72个小时左右。不过也足以看出来开源的魅力和mozilla基金会的组织能力。



可惜，媒体上的喧嚣已经开始了。



先是这个:

http://www.csdn.net/news/newstopic/21/21107.shtml





然后马上有跟风的借机渔利的，这个:

http://www.csdn.net/news/newstopic/21/21128.shtml

借机渔利也就罢了，竟然说“Firefox没有像微软的IE浏览器那样有明确的升级方式和负责安全的官方机构”，原来IE几年不出一个补丁这种升级方式是明确的。



说到这里，不知道有没有人到bugzilla上看看到底这个漏洞是什么，怎么形成的，导致错误的代码是什么。想必是没有，还好，我看了。



事实上，可以说是很严重，但由于firefox默认的安全性很好(默认禁止从其他网站下载插件，除非用户允许)，再加上firefox不像ie那样偷偷的下载，默默的安装，所以这个问题也没什么大不了的。



就算是安装上了，因为firefox架构的优秀，其能造成的最大破坏也就是从cookie里面偷一点东西走。这个危害大吗？我觉得说严重都有点危言耸听
了。您问什么叫严重？事实上IE的ActiveX才叫严重，不仅能默默的下载，偷偷的安装，还能控制你的机器，像3721那样赖住不走，任意拿走你硬盘上
的东西，甚至轻松格式化掉你的硬盘。



这些，对于firefox完全没机会做到。



而，媒体们呢？他们只喜欢先宣扬firefox完美，然后再宣扬firefox终于有了漏洞，这样他们才有话题。厂商，则只会借机渔利，宣传自己。顺便说一句，目前我只看到瑞星这么做，刚才搜索了一圈几大国外厂商的网站和安全站点，还没人这么做。



幸好我的ibm随机附带的杀毒软件是norton而非瑞星。谢谢ibm。瑞星这样“有明确的升级方式”的软件，我看还是少用为妙。