據(jù)消息顯示，有兩位研究人員已經(jīng)發(fā)現(xiàn)Firefox的URL處理器組件中的另外一個(gè)漏洞，并且他們已經(jīng)把這個(gè)漏洞公布到網(wǎng)上。

　　這個(gè)漏洞存在于Firefox的URL處理器組件中，而這一組件正是此前Mozilla所公布另一漏洞的根源所在。

　　nCircle Network Security的安全研究工程師Tyler Reguly表示，與此前公布的漏洞一樣，這個(gè)新發(fā)現(xiàn)的漏洞也可以被攻擊者利用來啟動(dòng)受害者電腦上的應(yīng)用程序，而這一過程并不需要認(rèn)證。他表示這兩個(gè)漏洞都與URL處理過程相關(guān)，它們只是相同處理過程中的不同錯(cuò)誤而已。

　　雖然那兩位研究人員公布的代碼只能運(yùn)行那些已經(jīng)安裝在受害者電腦上的程序，但是如果被犯罪者利用將會(huì)是非常危險(xiǎn)的事。例如，攻擊者可以利用受害者電腦上的已有程序來下載惡意程序并進(jìn)行安裝，這樣后果就不堪設(shè)想了。

　　攻擊者會(huì)引誘用戶點(diǎn)擊某惡意鏈接以使攻擊執(zhí)行。自從安全研究人員Thor Larholm演示了IE和Firefox如何進(jìn)行交互，并且這會(huì)被攻擊者利用來在用戶電腦上不必進(jìn)行驗(yàn)證就能運(yùn)行軟件之后，F(xiàn)irefox的URL處理器問題一直困擾著Mozilla。為了實(shí)現(xiàn)攻擊，IE要從網(wǎng)上下載錯(cuò)誤格式的數(shù)據(jù)并轉(zhuǎn)發(fā)給Firefox，這樣就能夠啟動(dòng)不需驗(yàn)證的軟件。

　　Mozilla計(jì)劃在即將推出的Firefox 2.0.0.6中修復(fù)這個(gè)漏洞。