发布日期：2004-09-15
更新日期：2004-09-23

受影响系统：

Mozilla Browser 1.7.2
Mozilla Browser 1.7.1
Mozilla Browser 1.7 rc3
Mozilla Browser 1.7
Mozilla Firefox 0.9.3
Mozilla Firefox 0.9.2
Mozilla Firefox 0.9.1
Mozilla Firefox 0.9 rc

不受影响系统：

Mozilla Browser 1.7.3
Mozilla Firefox Preview Release

描述：

---

BUGTRAQ  ID: 11192
CVE(CAN) ID: CVE-2004-0906

Mozilla/Firefox是开放源代码WEB浏览器。

Mozilla/Firefox浏览器的tar.gz打包文件权限处理不正确，本地攻击者可以利用这个漏洞覆盖或修改安装文件等。

使用tar.gz压缩的Mozilla/Firefox浏览器档文件权限处理不正确，是全局可读写，本地可交互的攻击者可以覆盖或修改安装文件，可能导致恶意程序执行。

<*来源：David Baron （dbaron@dbaron.org）
  
  链接：https://bugzilla.mozilla.org/show_bug.cgi?id=254303
*>

建议：

---

厂商补丁：

Mozilla
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

Mozilla Upgrade Firefox Preview Release
http://www.mozilla.org/products/firefox/releases/0.10.html

Mozilla Upgrade Mozilla 1.7.3
http://www.mozilla.org/releases/

浏览次数：2921
严重程度：0（网友投票）