7月12日，把IE和火狐浏览器同时安装到一个系统上使用可能引起零日攻击的危险。研究人员对于这个问题应该由微软负责还是由Mozilla负责意见不一。

据itnews.com.au网站报道，Mozilla正在研制补丁，修复影响到火狐浏览器和微软IE浏览器同时安装在一个系统里面的一个非常严重的安全漏洞。

在 *** 上对于这个问题应该由微软负责还是由Mozilla负责还存在分歧的同时， Mozilla负责安全的官员Window Snyder表示，他们将认真对待这个问题。她说，Mozilla相信纵深防御并且将在即将推出的火狐2.0.0.5版中修复这个漏洞以便缓解这个问题。但是，这并不能阻止IE向火狐发送恶意代码。

安全研究人员Thor Larholm把这个安全漏洞称作IE浏览器的输入验证安全漏洞。他说，这个安全漏洞与他早些时候在苹果Safari第三测试版中发现的安全漏洞是一样的。

他解释说，当安装火狐浏览器的时候，它注册一个URL协议控制器。当IE浏览器遇到火狐URL方案中的内容参考的时候，它就调用具有EXE图像路径的ShellExecute程序，并且没有输入任何验证信息就把整个URL请求发送出去。

这就意味着如果有人使用IE访问一个设法调用火狐URL的网页，微软浏览器将没有任何提示启动火狐浏览器并且把这个URL发送给火狐浏览器。Mozilla称，这两个浏览器都不审查这个URL。这将允许攻击者让火狐浏览器执行恶意的JavaScript代码。

微软发言人称，微软全面调查了IE浏览器存在安全漏洞的说法，发现这并不是微软产品中的漏洞。

Snyder称，单独使用火狐览器不会引起这个问题。她说，重要的是需要指出，如果你使用火狐浏览器访问一个网页，你不会受到这种攻击。

此漏洞详细资料请看：
http://www.vfocus.net/art/20070712/3017.html（中文）
http://larholm.com/2007/07/10/internet-explorer-0day-exploit/（英文）

测试页面：http://larholm.com/vuln/firefoxurl.html成功的话会弹一个cmd.exe窗口，显示："hello from larholm.com"

更多相关资料：
http://larholm.com/2007/06/12/safari-for-windows-0day-exploit-in-2-hours/
http://www.xs-sniper.com/sniperscope/IE-Pwns-Firefox.html