離Firefox 2.0.0.9約24天,Firefox更新版本Firefox 2.0.0.10的正式版在美國時間11月26日正式開放下載,這次更新解決2007年2月被發現的[舊安全性問題]。
之所以要更新這個舊的漏洞,是因為這個本來不怎麼重要的漏洞,近來有了針對此漏洞的新攻擊方法出爐,使得相關的問題被高度重視。這個漏洞是Forefox讀取Java語言寫成的jar檔案時,連接jar有可能會被壓縮檔案中的惡意連結轉向影響,故這次在Firefox 2.0.0.10中修正了驗證連結的方式,並建立確認jar來源網站的機制,避免跨站攻擊(XSS)的產生。另外,Firefox使用的gecko引擎版本更新為1.8.1.10,修正了一些記憶體洩漏的問題。
有興趣使用Firefox 2.0.0.10且使用Windows平台的用戶,可以點選Mozilla方面釋出的Firefox 2.0.0.10 繁體中文正式版下載連結,這也是目前官方推薦給Windows平台的最主要Firefox瀏覽器版本。另外,Linux與Mac OS平台的版本也開放更新下載。
這次更新是解決掉2.0.0.9的安全性問題,內容為:
MFSA 2007-39 Referer-spoofing via window.location race condition
MFSA 2007-38 Memory corruption vulnerabilities (rv:1.8.1.10)
MFSA 2007-37 jar: URI scheme XSS hazard