安全研究

安全漏洞
多家厂商WEB浏览器LiveConnect JavaScript远程拒绝服务攻击漏洞

发布日期:2003-03-28
更新日期:2003-04-04

受影响系统:
Mozilla Browser 1.2 Alpha
Netscape Navigator 7.02
Opera Software Opera Web Browser 7.03 win32
Opera Software Opera Web Browser 7.02 win32
Opera Software Opera Web Browser 7.01 win32
Opera Software Opera Web Browser 7.0 win32
Mozilla Browser 1.2.1
    - Mandrake Linux 8.2
    - RedHat Linux 8.0
不受影响系统:
Mozilla Browser 1.0
描述:
BUGTRAQ  ID: 7227

Mozilla和Opera是流行的WEB浏览器程序。

Mozilla和Opera在执行部分畸形JavaScript时存在漏洞,远程攻击者可以利用这个漏洞构建恶意页面,诱使用户点击,可导致浏览器崩溃。

Mozilla和Opera在浏览调用如下方法的恶意JavaScript页面时会引起Java虚拟机崩溃:

t = new Packages.sun.plugin.javascript.navig5.JSObject(1,1);

导致拒绝服务攻击。

<*来源:Marc Schoenefeld (marc.schoenefeld@uni-muenster.de
  
  链接:http://marc.theaimsgroup.com/?l=bugtraq&m=104887649429863&w=2
*>

测试方法:

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

Marc Schoenefeld (marc.schoenefeld@uni-muenster.de)提供了如下测试方法:

<script language="Javascript">
t = new Packages.sun.plugin.javascript.navig5.JSObject(1,1);
</script>

建议:
厂商补丁:

Mozilla
-------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.mozilla.org/

Netscape
--------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.netscape.com

Opera Software
--------------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.opera.com

浏览次数:3141
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障