用戶需升級至39.0.3版本

北京時間8月7日晚間消息，Mozilla周四提醒Firefox用戶，日前在Firefox瀏覽器中發現一處嚴重安全漏洞，因此建議用戶立即升級到最新版本。

該漏洞由一位Firefox用戶發現。一家新成立的俄羅斯網站的廣告中嵌入了可引發該漏洞的代碼，黑客可利用該漏洞將用戶的敏感信息上傳至一臺烏克蘭服務器中，而用戶則全然不知。

該漏洞依賴于Firefox瀏覽器集成的PDF閱讀器，可以向PDF閱讀器注入一個能夠搜索和上傳本地文件的腳本。因此，沒有集成PDF閱讀器的Firefox將不該漏洞影響。

雖然該漏洞不包含外部代碼執行功能，但卻允許搜索個人文件和上傳到外部服務器，因此會對用戶個人隱私構成威脅。而且，一旦傳輸任務完成，所有的相關痕跡都會被清除。

有趣的是，該腳本在本地系統中搜索的文件多為開發者感興趣的內容。例如，在Windows系統中通常搜索FTP配置文件、subversion、 .purple和其他帳號信息，而在linux系統下則主要搜索全局配置文件和用戶目錄。

為消除潛在威脅，Mozilla建議Firefox用戶盡快升級到最新版本Firefox 39.0.3，最好還要修改密碼和登錄信息。由于沒有整合PDF閱讀器，Android版Firefox不受此影響。