Firefox 曝 0-day 漏洞，黑客用來偷 FTP 資料

Mozilla基金會警告，上周接獲一名Firefox用戶通知，一家俄羅斯新聞網站上的廣告對Firefox發動攻擊，搜尋用戶電腦中的敏感個人資料，特別是FTP的設定資料，并上傳到疑似位于烏克蘭的伺服器。

Mozilla已釋出修補程式，并呼吁所有Firefox用戶更新到Firefox 39.0.3版，該修補程式也包含在Firefox ESR 38.1.1及Firefox OS 2.2中。

Mozilla 首席安全專家Daniel Veditz指出，該漏洞存在于JavaScript內容機制與Firefox PDF Viewer的互動之中。Mozilla安全網頁解釋，這個漏洞可使黑客得以違反「同源政策」，并將JavaScript酬載（payload）注入內建 PDF Viewer未受權限保護的部份，進而讀取或竊取受害電腦上的敏感檔案。不包含PDF Viewer的Mozilla產品，如Firefox for Android則未受影響。

在Windows版本上的Firefox，攻擊程序搜尋的是Apache subversion、s3browser、Filezilla組態檔.purple及Psi+帳號資訊、以及8個不同的知名FTP用戶端軟體的網站組態 檔。而在Linux上，攻擊程序則搜尋常見的組態檔如/etc/passwd，而在所有能存取的使用者目錄中，則搜 尋.bash_history、.mysql_history、.pgsql_history、.ssh組態檔與密鑰、Remmina、 Filezilla及Psi+的組態檔、名稱中包含「pass」及「access」的文字檔、以及所有shell script。Mac版Firefox用戶不在此次攻擊目標之列，但Veditz警告，如果駭客製作了別的攻擊程式則不保證沒風險。

Mozilla并指出，這次攻擊的黑客不會在本機上留下蹤跡，因此，Windows及Linux版Mozilla用戶如果有使用上述檔案，應變更所有密碼。