丹麦安全产品开发商Secunia于7月30日公开了Web浏览器“Mozilla”与“Mozilla Firefox”的安全漏洞(英文)。如果恶意使用安全漏洞，可以伪装地址栏、工具栏、SSL对话框等用户界面。最新版本也会受到影响，目前尚未公布修正版等。Secunia提出的对策是“不要点击不可靠的网站链接”。另外，将JavaScript设为无效也可防止伪装。

　　 上述安全漏洞最初是向“Bugzilla”(英文)报告(英文)的，Bugzilla为向Mozilla用户报告Bug的系统(网站)。Secunia对报告内容进行验证后在该公司网站上公开了上述漏洞。

　　 Secunia已承认Mozilla 1.7 for Linux、Mozilla Firefox 0.9.1 for Linux、Mozilla 1.7.1 for Windows与Mozilla Firefox 0.9.2 for Windows中存在此次安全漏洞。同时表示，这些版本之前的版本也可能存在同样的安全漏洞。

　　 上述漏洞的原因出在Mozilla与Mozilla Firefox可无限制读取放置在Web网站上的XUL(XML User Interface Language)(英文)文件。XUL是记述用户界面的标记(Markup)语言，Mozilla等根据XUL文件的内容显示用户界面部分。因此，如果读取了做过手脚的XUL文件，就可能显示任意界面。比如，可把恶意用户准备的网页伪装成著名网站的个人信息输入网页。

　　 可伪装的不仅是地址栏，还有工具栏、表示进行SSL通信的加密标记等，甚至可以伪装点击加密标记后所显示的数字证书。照片为互联网上公开的使用Mozilla Firefox 0.9.2 for Windows进行伪装的演示(点击放大照片(英文))。点击演示网页上准备的链接之后，显示的是伪装成美国PayPal的网页，地址栏里表示的也是正规的URL，左下角还有SSL的加密标记。

　　 目前尚未公布修正版，但从该公司此前的反应速度来看，估计应该近期就会公布。不仅Mozilla，Opera与Internet Explorer中也相继发现可伪装外表的安全漏洞。估计今后还会继续发现类似漏洞。重要的是“不要轻易点击不可靠的网站链接”、“不要随便输入个人信息”，一定要记住：眼见不一定为实！