URI漏洞Mozilla Firefox重拳出击修复11月漏洞

2007-11-21 16:41:36

Mozilla首席安全官终于宣布将着手存在九个月之久的协议句柄Bug，而此前Mozilla一直拒绝承认这是一个漏洞，而认为问题出在第三方软件上，而据安全人员分析，这一漏洞要比想象中的严重。

　　该Bug是另一个统一资源标识(URI)中的协议句柄漏洞“mailto:”,它主要用来发送电子邮件，除此之外，firefox的jar协议句柄也没有做好屏蔽。而经过黑客特别设计的网页却可以利用有效利用这些没有屏蔽好的协议句柄。

这都可能导致严重的安全问题，很简单的一段代码就可以让用户调用第三方软件访问恶意站点或读到恶意代码和有害软件。

　　发布日期：2007-11-08

　　更新日期：2007-11-12

　　受影响系统： Mozilla Firefox 2.0.x

　　描述：

　　BUGTRAQ ID: 26385

　　出现问题的是Mozilla Firefox中的jar:协议。Firefox中的jar:协议处理器没有正确地验证文档的MIME类型内容，如果攻击者能够向站点上传某些.zip、.png、.doc、.odt、.txt等文件的话，则用户访问了恶意站点就会导致跨站脚本攻击。

　　目前厂商还没有提供补丁或者升级程序，建议随时关注厂商的主页以获取最新版本 http://www.huohu8.com

火狐(Firefox)浏览器-火狐吧