丹麦安全公司Secunia当地时间11月10日公开了在Web浏览器“MozillaFirefox0.x”中发现的若干安全漏洞（英文）。如果恶意利用这些漏洞，可能会造成DoS（拒绝服务）攻击与对话框伪装等。与之相关的对策是升级到Firefox1.0（日文）。虽然这些漏洞不是特别危险，不过由于Firefox1.0正式版刚刚推出，因此最好还是升级到1.0版。

　　Secunia公开的安全漏洞都已被“Bugzilla”（英文）报告过，此次借已修正这些漏洞的Firefox1.0正式版发行之际，Secunia将这些漏洞汇总后公开。

　　Secunia公开的是以下三种安全漏洞：（1）有关IMG标识的安全漏洞（2）有关显示对话框的安全漏洞（3）有关Firefox权限的安全漏洞

　　（1）是如果给IMG标识的SRC指定本地文件名，就会获知该文件是否存在的安全漏洞。另外，如果将文件名指定为设备文件，Firefox就进入DoS状态。在Windows版中，还有可能通过文件共享窃取口令（不过，IE等其他浏览器也存在这一安全漏洞）。

　　（2）是如果文件名被做手脚，就会伪装文件下载时显示的对话框的安全漏洞。可以将危险的文件伪装成安全的文件类型，并引诱用户运行。照片为Secunia公开的访问示范网页时的例子，准备下载的文件看上去是PDF文件“Secunia.pdf”，实际上却是HTML程序。

　　不过，如果“保存（Save）”文件则不会受害（默认为“保存”），只有在对话框中选择“打开（Open）”时才会受到影响。并且在IE与Opera中也发现了这一安全漏洞（参阅本站报道）。

　　（3）是只有Mac OS X版才受到影响的安全漏洞。由于在MacOSX中Firefox是以“world-writable”权限安装的，因此本地用户（能访问该机器的用户）有可能恶意利用安全漏洞“升格”自己的权限。