漏洞起因
源验证错误
危险等级
低
影响系统
Mozilla Thunderbird 3.0.1
Mozilla Thunderbird 3.0
Mozilla SeaMonkey 2.0.2
Mozilla SeaMonkey 2.0.1
Mozilla SeaMonkey 2.0
Mozilla Firefox 3.5.7
Mozilla Firefox 3.5.6
Mozilla Firefox 3.5.5
Mozilla Firefox 3.5.4
Mozilla Firefox 3.5.3
Mozilla Firefox 3.5.2
Mozilla Firefox 3.5.1
Mozilla Firefox 3.5
Mozilla Firefox 3.0.17
Mozilla Firefox 3.0.16
Mozilla Firefox 3.0.15
Mozilla Firefox 3.0.14
Mozilla Firefox 3.0.13
Mozilla Firefox 3.0.12
Mozilla Firefox 3.0.11
Mozilla Firefox 3.0.10
Mozilla Firefox 3.0.9
Mozilla Firefox 3.0.8
Mozilla Firefox 3.0.7
Mozilla Firefox 3.0.6
Mozilla Firefox 3.0.5
Mozilla Firefox 3.0.4
Mozilla Firefox 3.0.3
Mozilla Firefox 3.0.2
Mozilla Firefox 3.0.1
Mozilla Firefox 3.0
不受影响系统
Mozilla Thunderbird 3.0.2
Mozilla SeaMonkey 2.0.3
Mozilla Firefox 3.5.8
Mozilla Firefox 3.0.18
Mozilla Firefox 3.6
危害
远程攻击者可利用漏洞在不同域执行任意脚本代码。
攻击所需条件
攻击者必须构建恶意WEB页,诱使用户访问。
漏洞信息
Firefox/Thunderbird/SeaMonkey是Mozilla所发布的WEB浏览器和邮件/新闻组客户端。
Hidetake Jo报告设置在对象上的属性传递给showModalDialog,即使文档属于不同域,也可通过包含在对话框中的文档读取。这个是一个同源策略冲突,如果dialogArguments没有被其他站点初始化,WEB站点可运行不可信JavaScript。
测试方法
厂商解决方案
用户可参考如下供应商提供的安全补丁:
http://www.mozilla.org/
漏洞提供者
Hidetake Jo of Microsoft Vulnerability Research
0 条评论。