Firefox曝严重漏洞 用户应及时升级防隐私被盗

Mozilla周四提醒Firefox用户，日前在Firefox浏览器中发现一处严重安全漏洞，因此建议用户立即升级到最新版本。

该漏洞由一位Firefox用户发现。一家新成立的俄罗斯网站的广告中嵌入了可引发该漏洞的代码，黑客可利用该漏洞将用户的敏感信息上传至一台乌克兰服务器中，而用户则全然不知。

该漏洞依赖于Firefox浏览器集成的PDF阅读器，可以向PDF阅读器注入一个能够搜索和上传本地文件的脚本。因此，没有集成PDF阅读器的Firefox将不该漏洞影响。

虽然该漏洞不包含外部代码执行功能，但却允许搜索个人文件和上传到外部服务器，因此会对用户个人隐私构成威胁。而且，一旦传输任务完成，所有的相关痕迹都会被清除。

有趣的是，该脚本在本地系统中搜索的文件多为开发者感兴趣的内容。例如，在Windows系统中通常搜索FTP配置文件、subversion、 .purple和其他帐号信息，而在linux系统下则主要搜索全局配置文件和用户目录。

为消除潜在威胁，Mozilla建议Firefox用户尽快升级到最新版本Firefox 39.0.3，最好还要修改密码和登录信息。由于没有整合PDF阅读器，Android版Firefox不受此影响。