Mozilla Firefox WYCIWYG:// URI绕过缓存区限制漏洞

BUGTRAQ ID: 24831

Mozilla Firefox是一款非常流行的开源WEB浏览器。

Firefox实现的wyciwyg://伪URI资源类型的访问控制存在漏洞，远程攻击者可能利用此漏洞获取Web浏览器相关的敏感信息。

wyciwyg://伪URI资源类型用于整理和引用本地所缓存的页面，但wyciwyg:// URI的访问控制并不充分，用户可通过XMLHttpRequest或IFRAMEd view-source:访问所缓存的文档。尽管仍正确地实现同域策略，但恶意站点可以绕过cookie设置向用户计算机存储任意标记；如果结合HTTP 302重新定向，攻击者还可以绕过同域策略窃取站点之前所显示的敏感信息、破坏缓存或执行URL栏欺骗。

Mozilla Firefox 1.8
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

<a href=“https://bugzilla.mozilla.org/attachment.cgi?id=271479” target=“_blank”>https://bugzilla.mozilla.org/attachment.cgi?id=271479</a>