·ENGLISH · 订阅客服快报
首 页 | 产品中心 | 安全服务 | 认证培训 | 解决方案 | 支持&下载 | 关于天融信 | 安全论坛
关于天融信
公司简介
董事长致词
发展历程
公司荣誉
新闻中心
招贤纳士
服务政策
合作伙伴
校园招聘


您现在的位置: 前沿视野 >> 火狐JavaScript `Prompted Message`漏洞
来源:天融信 时间:2009-12-29 11:48:23 点击次数:73

Bugraq ID: 37230
CVE ID:CVE-2009-4129
CNCVE ID:CNCVE-20094129

发布时间:2009-12-05

危害等级:严重

来源:天融信公司

影响系统
Mozilla Firefox 3.5.5
Mozilla Firefox 3.5.4
Mozilla Firefox 3.5.3
Mozilla Firefox 3.5.2
Mozilla Firefox 3.5.1
Mozilla Firefox 3.5
Mozilla Firefox 3.0.15
Mozilla Firefox 3.0.14
Mozilla Firefox 3.0.13
Mozilla Firefox 3.0.12
Mozilla Firefox 3.0.11
Mozilla Firefox 3.0.10
Mozilla Firefox 3.0.9
Mozilla Firefox 3.0.8
Mozilla Firefox 3.0.7 Beta
Mozilla Firefox 3.0.7
Mozilla Firefox 3.0.6
Mozilla Firefox 3.0.5
Mozilla Firefox 3.0.4
Mozilla Firefox 3.0.3
Mozilla Firefox 3.0.2
Mozilla Firefox 3.0.1
Mozilla Firefox 3.1 Beta 3
Mozilla Firefox 3.1 Beta 2
Mozilla Firefox 3.1 Beta 1
Mozilla Firefox 3.0 Beta 5
Mozilla Firefox 3.0

关于Mozilla Firefox浏览器

Mozilla Firefox,中文名为火狐,是由Mozilla基金会与开源团体共同开发的网页浏览器。Firefox是从Mozilla Application Suite派生出来的网页浏览器,从2005年开始,每年都被媒体PC Magazine选为年度最佳浏览器。根据Net Applications的统计,Firefox全世界的浏览器市场份额突破24%,仅次于微软的Internet Explorer。

漏洞成因

Mozilla Firefox JavaScript `Prompted Message`伪造漏洞,是关于在其他域中的WEB页上派生JavaScript提示消息。实际情况下,地址栏和浏览器内容是某个域中的内容,但是提示的 JavaScript消息由其他不同域的脚本生成,结果造成竞争条件的局面:浏览器开始对另一个域的URL进行导航,但在装载之前,马上生成 JavaScript消息提示,因此JavaScript消息可显示在原来WEB页之上,导致目标用户被提示消息欺骗,造成敏感信息泄漏。

目前Mozilla没有发布相关补丁,建议用户在操作敏感数据时,尽量避免使用Firefox浏览器,并及时升级漏洞补丁。
http://www.mozilla.org/
 
漏洞消息链接
http://www.securityfocus.com/archive/1/508275
·公司简介  ·招贤纳士  ·联系我们  ·产品注册  ·网站地图  ·合作伙伴 
 
京ICP备05032353号 Copyright ©1998-2008, 北京天融信公司. All Rights Reserved.