Firefox JavaScript: favicons代码插入执行漏洞
来源:
作者:
时间:2005-07-02
点击:
Firefox程序
描述:
Firefox JavaScript: favicons代码插入执行漏洞
详细:
Firefox是一款非常流行的开放源码WEB浏览器。链接标签允许用户加载自定义图形用作地址栏和标签标题中显示的站点图标。
Firefox对链接标签的处理上存在漏洞,攻击者可能在其中插入恶意代码使用户执行。
攻击者可以将这个标签的HREF属性设置为JavaScript URL,调用chrome函数,不经用户交互便可执行任意代码。
<*来源:Michael Krax
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=111383925722831&w=2
http://www.mozilla.org/security/announce/mfsa2005-37.html
http://www.mozilla.org/security/announce/mfsa2005-43.html
http://lwn.net/Alerts/133058/?format=printable
*>
受影响系统:
Mozilla Firefox 1.0.3
Mozilla Firefox 1.0.2
Mozilla Mozilla Suite 1.7.7之前版本
不受影响系统:
Mozilla Firefox 1.0.4
Mozilla Mozilla Suite 1.7.8
攻击方法:
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
http://www.mikx.de/firelinking/
解决方案:
临时解决方法:
如果您不能立刻安装补丁或者升级,CNNS建议您采取以下措施以降低威胁:
* 禁用JavaScript。
厂商补丁:
Mozilla
-------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载Firefox 1.0.4或Mozilla Suite 1.7.8:
http://www.mozilla.org/products/firefox/
http://www.mozilla.org/products/mozilla1.x/
附加信息:
BUGTRAQ ID: 13208
CVE(CAN) ID: CAN-2005-0752
最新评论共有 0 位网友发表了评论
查看所有评论
发表评论
- 赞助商连接
热点关注
- Kaspersky杀毒软件klif.sy
- Microsoft MSDTC TIP分布
- Microsoft Windows MSDTC
- Macromedia Flash Player
- Microsoft Windows Print
- "自动运行变种ISG"修改系
- 病毒 Virus.Win32.Autorun
- Win2k IIS 远程执行命令漏
- Microsoft Word畸形文档字
- 新代理木马病毒修改系统日
- Apple QuickTime Player远
- MySQL mysql_install_db以
- Symantec PCAnywhere本地
- Invision Power Board非授
- Microsoft Windows Teleph
- Oracle DBMS_METADATA软件
- Microsoft MSDTC TIP拒绝
- Oracle ALTER_MANUALLOG_C
- "征途盗贼10768"不断重写
- Firefox JavaScript: favi