近日,安全研究人员通过运用自动分析软件,对业界流行的Firefox进行了代码分析,结果表明,尽管Firefox的编写较为方便,但其存在大量的潜在缺限和安全漏洞。
Mozilla的一名开发者批评这种分析方法,称这无助于解决安全漏洞。 Klocwork组织的Adam Harrsion通过使用K7分析软件,对Firefox的多个版本进行了安全测试,其中包括最新的1.5.0.6版本,结果发现了约611个缺限和71个安全漏洞。
当内存被分配或是再次分析后,这大量的漏洞就会导致代码检测无效。内存管理引起的安全漏洞居第二位,达到了141个漏洞。无法检测代码执行路径也经常会引起潜在的问题发生。
目前,Firefox开发者已收到了这一安全测试结果。Harrsion称:“只有深厚的专业知识和了解Firefox的背景的部分人士才能真正理解这些安全漏洞的危害”。
由于微软或是opera都未提供版权代码,进行相同浏览器的比较测试,因此无法对Firefox进行比较分析。Mozilla项目的一名前开发者Alec Fleet称,使用代码分析软件有好处,但Klocwork公司所做的结论不够完全并有误导可能性。但Harrsion辩护称,尽管分析是自动进行的,但这种软件较传统的分析软件更为复杂。 |
