Mozilla Firefox xdg-open mailcap文件远程代码执行漏洞

2009-01-07T00:00:00
ID SSV:4632
Type seebug
Reporter Root
Modified 2009-01-07T00:00:00

Description

BUGTRAQ ID: 33137

Firefox是一款开放源码的WEB浏览器。

Firefox在调用/etc/mailcap中所定义的xdg-open工具之前没有正确地验证文件的mime-type,这可能导致执行任意代码。

Firefox使用mailcap检测默认的关联应用程序,对于音频或PDF文件等mime类型,Firefox使用xdg-open为默认的应用程序。由于xdg-open本身会检测mime类型(或要求桌面管理器检测),嵌入了伪造mime-type的页面会导致执行恶意程序。

Mozilla Firefox 3.0.5 厂商补丁:

Mozilla

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

<a href=http://www.mozilla.org/ target=_blank rel=external nofollow>http://www.mozilla.org/</a>

                                        
                                            
                                                https://prefbar.mozdev.org/testxdgopen.html 
http://prefbar.mozdev.org/testxdgopen.html