昨天,有人在一家俄罗斯新闻网站的广告内发现了一个严重的 Firefox 漏洞,据称它会绕过浏览器的「源头政策(origin policy,第一道安全防线)」,植入恶意 javascript 脚本,窃取设备上的敏感数据并将其上传至位于乌克兰的服务器。不过按照 Mozilla 的说法,这个漏洞所带来的风险主要是「针对开发者」,它瞄准的都是浏览器和 FTP 配置文件,而且攻击的时候「不会在设备上留下痕迹」。

据称目前该漏洞只会影响到 Windows 和 Linux 电脑,Mac 暂时还比较安全。当然啰,官方的建议,还是尽快将各平台的 Firefox 升级到已将漏洞补上的 39.0.3 版本,这样一来攻击者就无机可乘了。值得一提的是,所幸第一个发现此事的,是一位名叫 Cody Crews 的安全研究员。他第一时间将问题报告给了 Mozilla,所以各位在赶紧去更新的同时,也在心里感谢一下他吧。