当前位置: 首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

服务与支持Support

Firefox 3.6 (XML parser) 拒绝服务漏洞

信息来源:d3b4g      发表日期:2013-01-01 10:07:00

Firefox是一款非常流行的开源WEB浏览器。Thunderbird是一个邮件客户端,支持IMAP、POP邮件协议以及HTML邮件格式。

Firefox 3.6版本在XML解析器的实现上存在安全漏洞,可造成内存破坏,导致拒绝服务。

 

受影响系统:

Mozilla Firefox 3.6

 

测试方法:

警  告以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!# Firefox 3.6(XML parser)memory corruption PoC/Dos

# by d3b4g

# From tiny islands of maldivies

# Tested: version 3.6

# Tested on windows XP SP3

# 20-01-2010

 

 

This same bug was in early version of firfox,found by (Wojciech Pawlikowski) This is just a update.

 

This vulnerability  cause a denial of service (memory corruption) via an XML document composed of a long series of start-tags with no corresponding end-tags.

 

http://www.exploit-db.com/sploits/Firefox-v3.6_PoC.rar

解决办法:

厂商补丁:

 

Mozilla

-------

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

 

http://www.mozilla.org/security/