当前位置: 首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

服务与支持Support

Mozilla Firefox OnUnload内存破坏漏洞

信息来源:Michal Zalewski (lcamtuf@echelon.pl)      发表日期:2013-08-15 18:03:00

 

Firefox是一款非常流行的开源WEB浏览器。

 

Mozilla Firefox 1.5.0.9、2.0.0.1、SeaMonkey 1.0.8之前版本存在远程内存破坏漏洞,远程攻击者通过JavaScript onUnload处理程序修改文档结构,触发因DOM窗口对象缺少最后hook导致的内存破坏,然后执行任意代码。

 

BUGTRAQ-ID:22679

CVE-ID:2007-1092

受影响系统:

Mozilla Firefox 2.0.0.1

Mozilla Firefox 1.5.0.9

Mozilla SeaMonkey < 1.0.8

 

测试方法:

警  告以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!http://lcamtuf.coredump.cx/ietrap/testme.html

解决办法:

厂商补丁:

 

Mozilla

-------

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

 

http://www.mozilla.org/security/

http://www.mozilla.org/security/announce/2007/mfsa2007-08.html

 

参考信息:

http://www.kb.cert.org/vuls/id/393921