Mozilla Firefox安装方式远程执行任意代码漏洞

发布日期：2005-05-08
更新日期：2005-05-13

受影响系统：

Mozilla Firefox Preview Release
Mozilla Firefox 1.0.3
Mozilla Firefox 1.0.2
Mozilla Firefox 1.0.1
Mozilla Firefox 1.0
Mozilla Firefox 0.9.3
Mozilla Firefox 0.9.2
Mozilla Firefox 0.9.1
Mozilla Firefox 0.9 rc
Mozilla Firefox 0.8
Mozilla Firefox 0.10.1
Mozilla Firefox 0.10

不受影响系统：

Mozilla Firefox 1.0.4

描述：

---

BUGTRAQ ID: 13544
CVE(CAN) ID: CVE-2005-1476,CVE-2005-1477

Mozilla Firefox是一款非常流行的开放源码WEB浏览器。

Mozilla Firefox在安装方式的实现上存在漏洞，可能导致无需用户交互就可执行任意代码。

对漏洞的最初分析表明该漏洞可能导致迷惑浏览器状态栏信息，并允许任意脚本获得UniversalXPConnect权限。但据观察这个漏洞还可被远程利用，在有漏洞的计算机上以运行受影响浏览器用户的权限执行特权操作。

<*来源：john smith （edward11@postmaster.co.uk）
Paul （heatsync@gmail.com）

链接：http://www.mozilla.org/security/announce/mfsa2005-42.html
http://marc.theaimsgroup.com/?l=bugtraq&m=111549388521910&w=2
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 禁用JavaScript:
-在Firefox“工具”菜单中，选择“选项”
-选择“网页特性”对话框
-清除选择“启用JavaScript”复选框
-点击“确定”

厂商补丁：

Mozilla
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载Firefox 1.0.4：

http://www.mozilla.org/products/firefox/

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有