中国IT实验室4月1日报道：近日，Mozilla公司将其开源浏览器的版本升级到2.0.0.13，并修补了10个安全漏洞，其中一半被评定为“危险(critical)”级别。

　　在Mozilla的六个安全公告中列出了五个标为“危险”级别的安全漏洞，其中三个为“高危”级别，另外两个分别为“中等”和“低”。

　　nCircle网络安全公司的安全运营主管Andrew Storms表示，“让每个人感到有意思的是，公告称多数安全缺陷与浏览器本身无关。”

　　在这些严重漏洞中有两个可以被利用来使浏览器或它的JavaScript引擎崩溃，甚至可以完成更多操作。Mozilla在2008-15公告中写道，“其中一部分崩溃被证明是在特定条件下的内存溢出造成的，其中一些漏洞可以被利用来运行任意代码。”

　　在2.0.0.13版本中，Mozilla还修补了一些潜在的身份泄露、欺骗bug和跨站点脚步安全漏洞。引起Storms注意的还有一个针对LiveConnect的补丁，LiveConnect功能可以让Firefox与其之前的浏览器Netscape交互。LiveConnect让Java applets可以调用一个网页的嵌入JavaScript，或者让JavaScript访问Java运行库，这个功能被Firefox和苹果公司的Safari 3浏览器所使用。

　　Mozilla公司在其公告中表示，“Sun已经升级了Java运行时环境来修补这个问题。Mozilla也必须增加一个针对LiveConnect的补丁来保护那些没有安装最新版Java的用户。”

　　Storms表示，“我们看到Firefox迈出了修正Java中漏洞的一步，这是一种深受欢迎的做法。”

　　所有这10个安全漏洞也被SeaMonkey项目所修补，这是一个独立的开发多功能浏览器套装的开源组织。

　　同时，Thunderbird电子邮件客户端也被Mozilla 2008-14和2008-15中所列的五个严重漏洞所影响。在第一个公告中写道，“Thunderbird与Firefox浏览器共享同一个浏览器引擎，因此如果在电子邮件中启用JavaScript，那么它也有可能被影响。这并不是默认设置，我们强烈建议用户不要在邮件中运行JavaScript。”

　　修复这些漏洞的Thunderbird 2.0.0.13的发布日期目前还未确定。根据Mozilla Messaging的负责人David Ascher表示，这个电子邮件程序的升级将在Firefox升级后的几个星期之内进行。

　　Ascher上周在他的博客中列举了几条理由，来解释为什么不可能同时推出Thunderbird和Firefox更新。他表示，“部分原因是因为Thunderbird版本发布过程还没足够自动化，另外部分原因是因为没有具备足够的训练。”

　　Ascher表示，JavaScript在Firefox中是默认自动打开，但在 Thunderbird中没有。“为了减轻某些人利用从Firefox升级中得到的信息来试图攻击Thunderbird用户的风险，我们可以推迟Firefox升级的发布直到Thunderbird已做好准备，”Asher表示，“但这将意味着我们会让超过150万用户处于安全风险状态，因此我们尽可能早地推出了Firefox的安全更新，再随后尽可能早地推出Thunderbird的安全更新。”