Mozilla Firefox addEventListener和setTimeout实现跨站脚本漏洞

2010-03-26T00:00:00
ID SSV:19351
Type seebug
Reporter Root
Modified 2010-03-26T00:00:00

Description

BUGTRAQ ID: 38946 CVE(CAN) ID: CVE-2010-0171

Firefox是一款流行的开源WEB浏览器。

Firefox的addEventListener和setTimeout实现中存在安全漏洞,用户可以通过使用包装的对象绕过MFSA 2007-19所提供的修复执行跨站脚本攻击;由于Firefox 3.6浏览器引擎中的更改,对这个版本的攻击仅限于从跨来源帧或窗口捕获键盘敲击事件。

Mozilla Firefox 3.6 Mozilla Firefox 3.5.x Mozilla Firefox 3.0.x Mozilla Thunderbird 3.0 Mozilla SeaMonkey 2.0 厂商补丁:

Mozilla

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.mozilla.org/