Firefox缺陷引发骚动 黑客突然改口撤回攻击

　　上周六(30日)，Mischa Spiegelmock与Andrew Wbeelsoi在圣地亚哥举行的ToorCon会议中表示，Firefox处理JavaScript的方式有严重瑕疵，攻击者只要制作内含恶意JavaScript源代码的网页，就能挟持受害主机。 
 
　　他们也展示部分的攻击程序。

　　但Spiegelmock决定撤回之前的说法。在发给Firefox开发协调单位Mozilla的声明中，Spiegelmock说会中展示的攻击程序无法完全损害使用该浏览器的电脑。

　　他的声明公布在Mozilla网站，当中写道：“除了当机和占据系统资源外，我从未成功地让这组程序造成任何伤害，而我绝对没有用它去挟持任何人的电脑，和执行强制程序代码。”

　　Spiegelmock表示：“我们发布的主要目的是好玩，我向所有相关的人道歉，希望我已经尽可能地澄清每件事。”至于他们宣称还知道30个尚未修补的Firefox漏洞，Spiegelmock完全推给另一位黑客Wbeelsoi：“我没有未揭露的Firefox漏洞，和我一起发言的人这么说，而我真的不知道他到底有没有。”记者尚未联系到Wbeelsoi。

　　Mozilla安全负责人Window Snyder 3日表示，他们在ToorCon的发言引起Firefox开发社区骚动，大家利用整个周末调查这个问题。Mozilla的错误追踪网站展示出若干证据。

　　她说：“此刻Mischa正与我们合作，我们很欣慰他决定加入我们，但我们很失望有这么多人为此忙乱。这是一次昂贵的行动，有鉴于投入的资源，和许多牺牲周末家庭时间的人。”

　　Snyder说，根据Spiegelmock提供的信息，这个问题仍可能是个严重瑕疵，但目前看来像是无害的当机她表示：“我们有一个潜在问题，但目前，基本上还是可靠度的问题。我们还无法证明源代码执行。”

　　Spiegelmock在声明中写道，这次的发布包括“一个之前已知的Firefox漏洞。”然而Snyder说，这两个问题只是类似，但不一样。

　　她说：“他们发布的是潜在的漏洞。每次碰到当机你都需要完整地调查，以评估是否有任何安全上的影响。我们尚未排除所有选项，所以我们会继续调查…Firefox使用者应该保持谨慎，且不要忽略任何事。”

　　另一位安全专家表示，这个问题只会造成Firefox当机。抓错专家Tom Ferris表示：“他们发布的只是一个内存不足当机错误，不是安全漏洞。显然地，这两个人只想吓吓媒体和ToorCon的与会者。”

　　Snyder不确定Mozilla是否会就此单独发布修补程序，或在未来的版本处理。她说：“现在还不确定，这还需要进一步调查。”