robust

小狐狸

UID3091
注册日期2005-02-17
最后登录2010-03-19
发帖数31
经验10枚
威望0点
贡献值0点
好评度0点

加关注写私信

阅读：2836回复：9

新版Firefox又现漏洞可泄漏用户敏感信息

楼主^#

更多发布于：2005-04-05 12:38

天极网4月5日消息　据丹麦安全公司Secunia称，Mozilla基金会的开源软件浏览器Firefox和Mozilla的JavaScript引擎存在安全漏洞，容易使网络用户受到攻击。黑客可以利用这个安全漏洞获取用户计算机当前内存中存储的信息(而不是存储在硬盘中的信息)。
　　据Mozilla基金会称，使用JavaScript脚本引擎中的“lambda”替代法可在运行JavaScript字符串结束之后暴露出一些专用的内存空间。利用这个安全漏洞可以获得内存中敏感的信息。
　　最新的Firefox 1.0.2版和Mozilla 1.7.6版软件已经证实存在这个安全漏洞。目前，还没有修复这个安全漏洞的补丁。不过，开发人员正在研制这种补丁。
　　Secunia安全公司建议用户暂时关闭这些浏览器软件中支持JavaScript的功能。Secunia把这些安全漏洞评级为“中等严重”的安全漏洞。
　　Secunia制作了一个测试程序，Firefox和Mozilla的用户可以进行测试，以便验证是否存在安全漏洞。(完）

我刚升到1.0.2,看来又要升级了.

喜欢0

wtydwy1967

非常火狐

UID2281
注册日期2005-01-17
最后登录2021-05-26
发帖数755
经验12枚
威望0点
贡献值4点
好评度0点

加关注写私信

1楼^#

发布于：2005-04-05 12:38

偶正在使用1.03版的，估计也没补上补丁

偶的blog

回复喜欢

robust 小狐狸 UID3091 注册日期2005-02-17 最后登录2010-03-19 发帖数31 经验10枚威望0点贡献值0点好评度0点加关注写私信	2楼^# 发布于：2005-04-05 12:38 这个漏洞应该在1.03补上吧, 因为是存在于1.02版的吗.
	回复(0) 喜欢(0)

orizng

火狐狸

UID3619
注册日期2005-03-05
最后登录2006-04-27
发帖数214
经验10枚
威望0点
贡献值0点
好评度0点

加关注写私信

3楼^#

发布于：2005-04-05 12:38

yeh,估计1.0.3会补，虽然我看不出来这个漏洞如何危险，secunia的测试显示他们可以读我的内存字符。结果是：

s N V 7 # ; ParameterizedDoPasscard(true); Verdana Arial Helvetica sans-serif serif f52fe7b274dadf306aea641d24c826 1 1 1 1 1 1 ( Z i K Gore Launches TV Channel for Young Viewers ( viewforum.php?f=4&topicdays=0&start=1950 sborient=orient l - ' G G e L tabbrowser = this.parentNode; while (tabbrowser.localName = 'tabbrowser') tabbrowser = tabbrowser.parentNode; tabbrowser.updateTabPopupMenu(this tabbrowser.mContextTab); L s 1 m 5 T 6 5 5 W V 5 D V 5 d menuitem P : 1 i 1 1 er B r(75 16359); timer(91 1447); timer(90 1446); timer(89 1445); 1440 parentNode 1 1 g 42 e 0 m 5 T 6 5 5 W V 5 D V 5 1 P ? item 8 lign / e ? gPrefService.setBoolPref('datacard.messagebar.enable' 'false'); navigator ( 7 ; r(69 16353); timer(69 16353); timer(74 1430); timer(73 1429); 69 5 QUOTE="superman" Firefox IE Firefox IE Java IE Linux ...... /QUOTE l 5 X images/header_logo.gif 1 1 " 1 2 4 1 e images/header_tr.gif d 0 verdana helvetica arial serif 1 5 5 5 5 rap m 5 T 6 5 5 W V 5 D V 5 .m ) l t t s ) 4 ( # T / ; 4 ' ' m 5 T 6 5 5 W V 5 D V 5 WHITE a 1 ) ht 8 P C Z ass 1 __proto__ N t viewforum.php?f=22 1 ; 1 1 1 1 1 1 1 1 16240 verdana helvetica arial serif mini_search.gif 1 1 viewtopic.php?t=18&start=120 & ( & s s 1 e 1 K Z m 5 T 6 5 5 W V 5 D V 5 viewtopic.php?t=18&start=90 1

回复喜欢

anton

火狐狸

UID3693
注册日期2005-03-06
最后登录2005-09-05
发帖数113
经验10枚
威望0点
贡献值0点
好评度0点

加关注写私信

4楼^#

发布于：2005-04-05 12:38

我也去测试了，地址是：http://secunia.com/mozilla_products_arbitrary_memory_exposure_test/

但是结果是一对叉号，不知道是有问题还是没问题，如下图：

igotu.cn 欢迎欢迎热烈欢迎

回复喜欢

orizng

火狐狸

UID3619
注册日期2005-03-05
最后登录2006-04-27
发帖数214
经验10枚
威望0点
贡献值0点
好评度0点

加关注写私信

5楼^#

发布于：2005-04-05 12:38

你的lunix, 就算再大的漏洞也不见得有危险，何况是这个，呵呵

回复喜欢

anton

火狐狸

UID3693
注册日期2005-03-06
最后登录2005-09-05
发帖数113
经验10枚
威望0点
贡献值0点
好评度0点

加关注写私信

6楼^#

发布于：2005-04-05 12:38

我用windowsxp测试了一下，图还是一样的，我用的ff是1。0。3的nightly 版本

igotu.cn 欢迎欢迎热烈欢迎

回复喜欢

宇宙火星非常火狐 UID182 注册日期2004-11-26 最后登录2006-04-19 发帖数660 经验10枚威望0点贡献值0点好评度0点加关注写私信	7楼^# 发布于：2005-04-05 12:38 基本上现在对ff的漏洞都可以不担心。主要是ff用户太少了，恶意网站不会有兴趣辛苦搞一个东西针对极少数人的东西。再一个ff补漏洞补的太快，恶意者还没搞清楚怎么利用漏洞，漏洞就已经不存在了。所以更没人愿意研究ff漏洞了。
	回复(0) 喜欢(0)

orizng

火狐狸

UID3619
注册日期2005-03-05
最后登录2006-04-27
发帖数214
经验10枚
威望0点
贡献值0点
好评度0点

加关注写私信

8楼^#

发布于：2005-04-05 12:38

我去Asa的Blog问了一下，他们说已经在1.0.3的最新候选版里修补了。

回复喜欢

anton

火狐狸

UID3693
注册日期2005-03-06
最后登录2005-09-05
发帖数113
经验10枚
威望0点
贡献值0点
好评度0点

加关注写私信

9楼^#

发布于：2005-04-05 12:38

官方的1.02版这个漏洞现在还没有补上，linux系统也同样遭殃阿！不知道1.03官方版什么时候出来。
另外，前段时间一直用nightly版，上校友录、凤凰网之类的老是down，换了官方的版本就ok了。

igotu.cn 欢迎欢迎热烈欢迎

回复喜欢

您需要登录后才可以回帖，登录或者注册

新版Firefox又现漏洞 可泄漏用户敏感信息

最新喜欢：

新版Firefox又现漏洞可泄漏用户敏感信息