|
阅读:3377回复:2
Firefox被发现2个安全漏洞
涉及IFRAME JavaScript脚本 URL以及IconURL参数输入,恶意的网页有可能专门针对这漏洞设计出脚本攻击代码。在1.0.3版本里面还存在。
详情见: http://secunia.com/advisories/15292/ 另外,对Firefox的安全性问题感兴趣朋友可以看看,很详尽的信息和统计: http://secunia.com/product/4227/ |
|
|
1楼#
发布于:2005-05-09 13:12
mozillazine上有关这个两个漏洞的详尽解释:
http://mozillazine.org/talkback.html?article=6590 我看了看这个解释,大意是: 第一个漏洞, 危险性较小。会导致敏感数据被盗而且会使第二个漏洞更容易使用。 恶意站点可以使用帧和JavaScript脚本向其他站点中插入任意的JavaScript脚本代码。 恶意站点可以利用这个来窃取如同cookie的数据,或者执行某些操作,例如不需要白名单的允许就可以启动软件(扩展)安装窗口(注意:还是要用户点确定才能完成扩展的安装)。 影响: Mozilla Firefox 和 Mozilla Application Suite。 预防办法:禁用JavaScript。 第二个漏洞, 危险性较大。 调用了软件(扩展)安装窗口,软件安装窗口就是安装扩展时带3秒倒计时的那个窗口。 Mozilla Firefox中这个窗口包含了一个图标,其URL是网站上的一个图片文件。 由于缺乏足够的检查,图标的URL竟然可以是一段JavaScript代码。这段代码就可以悄悄的运行。由于代码在软件安装对话框中运行,所以权限很高,可以通过漏洞安装扩展或者删除文件。 影响:只有Mozilla Firefox 预防办法:禁止安装软件(选项->网站特性->取消‘允许网站安装软件’),或者清空安装扩展的白名单。 PS:从下文的回帖得知5月9日的nightly版中已经修复了这两个漏洞!! 另外语不佳,水平有限,请见谅。 |
|
|
2楼#
发布于:2005-05-09 13:12
等6.1的礼物?
|
|
