zhj1028
火狐狸
火狐狸
  • UID3423
  • 注册日期2005-02-28
  • 最后登录2015-12-29
  • 发帖数253
  • 经验14枚
  • 威望0点
  • 贡献值4点
  • 好评度0点
  • 社区居民
阅读:5573回复:9

Firefox 2.0再爆高危漏洞

楼主#
更多 发布于:2007-07-12 08:24
http://www.pcpchina.com/news/list.asp?id=30659
安全机构Secunia发现了存在于Firefox 2.0中的一个“高危”漏洞,这个漏洞可被黑客利用从而威胁到用户的系统安全。

Firefox 在安装时会在注册表中注册一个叫做“FirefoxURL”的键值,通过这个键值可以使用任意的命令行参数调用Firefox,比如"-chrome"参数就可能执行任意的Javascript脚本。这个漏洞虽然出在Firefox身上,不过首先受到伤害的却是IE,当用户使用IE访问一个带有 FirefoxURL恶意命令参数的网站时,就会通过这个命令行直接调用Firefox并执行其后所跟命令,之后的事情对于一名黑客来说就简单多了。

Firefox 2.0再爆高危漏洞

Firefox 2.0再爆高危漏洞

目前这一漏洞已被确认存在于打了完整XP SP2补丁Firefox 2.0.0.4版本中,其它版本也有可能存在类似漏洞。


泡泡鱼屋生活馆  http://shop34376272.taobao.com/
smoke
千年狐狸
千年狐狸
  • UID3052
  • 注册日期2005-02-16
  • 最后登录2015-02-01
  • 发帖数2367
  • 经验12枚
  • 威望0点
  • 贡献值0点
  • 好评度0点
  • 社区居民
  • 忠实会员
1楼#
发布于:2007-07-12 08:24
firefox会提示确认打开的。。
遇到问题请善用论坛搜索功能
leonary
千年狐狸
千年狐狸
  • UID4095
  • 注册日期2005-03-16
  • 最后登录2016-12-24
  • 发帖数1908
  • 经验11枚
  • 威望0点
  • 贡献值0点
  • 好评度0点
  • 社区居民
2楼#
发布于:2007-07-12 08:24
根据这里的讨论
http://forums.mozillazine.org/viewtopic ... 9719724501
目前有两个补救方案,一个是直接删除该注册表键,位置
HKEY_CLASSES_ROOT\FirefoxURL

安装一个NoScript 扩展也可以阻止恶意脚本的运行,注意不要选择"允许运行所有脚本"(那就跟没装一样)

据一个被叫做Giorgio Maone 的人说,此bug会在的2.0.0.5版中修复,很快就将发布
再狡猾的猎手也斗不过好狐狸
qdzheng
狐狸大王
狐狸大王
  • UID3128
  • 注册日期2005-02-18
  • 最后登录2010-02-06
  • 发帖数379
  • 经验10枚
  • 威望0点
  • 贡献值0点
  • 好评度0点
3楼#
发布于:2007-07-12 08:24
我认为还是IE的漏洞。
~$ uname -a
Linux arch-lee 2.6.29-ARCH #1 SMP PREEMPT Wed Apr 8 12:47:56 UTC 2009 i686 Mobile Intel(R) Pentium(R) 4 - M CPU 2.00GHz GenuineIntel GNU/Linux
elisha
千年狐狸
千年狐狸
  • UID5901
  • 注册日期2005-05-12
  • 最后登录2017-11-15
  • 发帖数1436
  • 经验12枚
  • 威望0点
  • 贡献值0点
  • 好评度0点
  • 社区居民
4楼#
发布于:2007-07-12 08:24
对不用ie的我们来说,这个漏洞等于不存在

And so at last the beast fell and the unbelievers rejoiced.
But all was not lost, for from the ash rose a great bird.
The bird gazed down upon the unbelievers and cast fire
and thunder upon them.For the beast had been
reborn with its strength renewed, and the
followers of Mammon cowered in horror.



from The Book of Mozilla, 7:15
zeroieme
千年狐狸
千年狐狸
  • UID12805
  • 注册日期2006-05-17
  • 最后登录2015-10-11
  • 发帖数1407
  • 经验34枚
  • 威望0点
  • 贡献值20点
  • 好评度0点
  • 社区居民
5楼#
发布于:2007-07-12 08:24
有问题不奇怪,只要补得快。
hnstxx
千年狐狸
千年狐狸
  • UID1952
  • 注册日期2005-01-09
  • 最后登录2013-05-14
  • 发帖数4977
  • 经验10枚
  • 威望0点
  • 贡献值0点
  • 好评度0点
6楼#
发布于:2007-07-12 08:24
如果可以的话,删掉阿姨才是除根之本^_^
MM:你是个外表冷酷,内心却很甜蜜的男人。
客游
千年狐狸
千年狐狸
  • UID5736
  • 注册日期2005-05-06
  • 最后登录2012-10-09
  • 发帖数1363
  • 经验10枚
  • 威望0点
  • 贡献值0点
  • 好评度0点
7楼#
发布于:2007-07-12 08:24
发现就好,直接修补,我们的口号是:快!
jun0717
火狐狸
火狐狸
  • UID4176
  • 注册日期2005-03-19
  • 最后登录2014-08-02
  • 发帖数242
  • 经验13枚
  • 威望0点
  • 贡献值4点
  • 好评度0点
  • 社区居民
8楼#
发布于:2007-07-12 08:24
  属IE的问题,打开此类网页报:
  IE input validation exploit
qdzheng
狐狸大王
狐狸大王
  • UID3128
  • 注册日期2005-02-18
  • 最后登录2010-02-06
  • 发帖数379
  • 经验10枚
  • 威望0点
  • 贡献值0点
  • 好评度0点
9楼#
发布于:2007-07-12 08:24
这个事儿微软已经说了,不是他们的错,这个漏洞与他们没有关系。
----------------------
热爱火狐的人们啊,快用Linux类的系统吧。
~$ uname -a
Linux arch-lee 2.6.29-ARCH #1 SMP PREEMPT Wed Apr 8 12:47:56 UTC 2009 i686 Mobile Intel(R) Pentium(R) 4 - M CPU 2.00GHz GenuineIntel GNU/Linux
游客

返回顶部