漏洞起因
访问验证错误
危险等级
中
影响系统
Mozilla Firefox 16.x
Mozilla Thunderbird 16.x
Mozilla SeaMonkey 2.x
不受影响系统
危害
远程攻击者可以利用漏洞获得敏感信息。
攻击所需条件
攻击者必须构建恶意WEB页,诱使用户解析。
漏洞信息
Mozilla Firefox/SeaMonkey/Thunderbird是Mozilla所发布的WEB浏览器/新闻组客户端/邮件客户端。
Mozilla Firefox/SeaMonkey/Thunderbird对defaultValue()缺少正确的安全检查,允许攻击者构建恶意WEB页,诱使用户解析,可不正确的访问Location对象,导致敏感信息泄露。
测试方法
厂商解决方案
Mozilla Firefox 16.01 ,Firefox ESR 10.0.9, Thunderbird 16.0.1, Thunderbird ESR 10.0.9, SeaMonkey 2.13.1已经修复此漏洞,建议用户下载使用:
http://www.mozilla.com/en-US/
漏洞提供者
moz_bug_r_a4 & Gareth Heyes
评论关闭。