安全研究

安全漏洞
Mozilla Browser交叉域冲突漏洞

发布日期:2003-04-16
更新日期:2003-04-22

受影响系统:
Mozilla Browser 1.3
Mozilla Browser 1.2.1
Mozilla Browser 1.2 Beta
Mozilla Browser 1.2 Alpha
Mozilla Browser 1.1 Beta
Mozilla Browser 1.1 Alpha
Mozilla Browser 1.1
Mozilla Browser 1.0.1
Netscape Communicator 7.02
Netscape Communicator 7.01
Netscape Communicator 7.0
Netscape Communicator 6.2.3
Mozilla Browser 1.0
    - Mandrake Linux 8.2
    - RedHat Linux 8.0
描述:
BUGTRAQ  ID: 7363

Mozilla是一款流行的开放源代码的WEB浏览器。

Mozilla在交叉域检查中存在漏洞,远程攻击者可以利用这个漏洞构建恶意WEB页面,诱使用户访问,获得目标用户敏感信息。

通过'onclick'属性执行任意代码,在浏览器安全区域策略中会出现安全冲突,由于交叉域检查不充分,攻击者构建恶意页面,当用户查看这个页面时可导致攻击者查看其他浏览器窗口中的WEB内容,使的敏感信息泄露,如基于认证的Cookie信息。

<*来源:Liu Die Yu (liudieyuinchina@yahoo.com.cn
  
  链接:http://marc.theaimsgroup.com/?l=bugtraq&m=105049858602199&w=2
*>

测试方法:

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

Liu Die Yu <liudieyuinchina@yahoo.com.cn>提供演示页面如下:

http://liudieyuinchina.vip.sina.com/EdgeLink/EdgeLink-MyPage.htm

建议:
厂商补丁:

Mozilla
-------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.mozilla.org/

Netscape
--------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.netscape.com

浏览次数:3038
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障