Firefox 曝 0-day 漏洞，黑客用来偷 FTP 资料

Mozilla基金会警告，上周接获一名Firefox用户通知，一家俄罗斯新闻网站上的广告对Firefox发动攻击，搜寻用户电脑中的敏感个人资料，特别是FTP的设定资料，并上传到疑似位于乌克兰的伺服器。

Mozilla已释出修补程式，并呼吁所有Firefox用户更新到Firefox 39.0.3版，该修补程式也包含在Firefox ESR 38.1.1及Firefox OS 2.2中。

Mozilla 首席安全专家Daniel Veditz指出，该漏洞存在于JavaScript内容机制与Firefox PDF Viewer的互动之中。Mozilla安全网页解释，这个漏洞可使黑客得以违反「同源政策」，并将JavaScript酬载（payload）注入内建 PDF Viewer未受权限保护的部份，进而读取或窃取受害电脑上的敏感档案。不包含PDF Viewer的Mozilla产品，如Firefox for Android则未受影响。

在Windows版本上的Firefox，攻击程序搜寻的是Apache subversion、s3browser、Filezilla组态档.purple及Psi+帐号资讯、以及8个不同的知名FTP用户端软体的网站组态 档。而在Linux上，攻击程序则搜寻常见的组态档如/etc/passwd，而在所有能存取的使用者目录中，则搜 寻.bash_history、.mysql_history、.pgsql_history、.ssh组态档与密钥、Remmina、 Filezilla及Psi+的组态档、名称中包含「pass」及「access」的文字档、以及所有shell script。Mac版Firefox用户不在此次攻击目标之列，但Veditz警告，如果骇客製作了别的攻击程式则不保证没风险。

Mozilla并指出，这次攻击的黑客不会在本机上留下踪迹，因此，Windows及Linux版Mozilla用户如果有使用上述档案，应变更所有密码。