发布日期：2005-03-25
更新日期：2005-03-25

受影响系统：

Mozilla Firefox 1.0.1
Mozilla Firefox 1.0
Mozilla Firefox 0.9.3
Mozilla Firefox 0.9.2
Mozilla Firefox 0.9.1
Mozilla Firefox 0.9 rc
Mozilla Firefox 0.8

不受影响系统：

Mozilla Firefox 1.0.2

描述：

---

BUGTRAQ  ID: 12884
CVE(CAN) ID: CVE-2005-0402

Mozilla Firefox是一款开放源码的WEB浏览器。

Mozilla Firefox中存在的漏洞可能允许远程代码执行。如果在侧栏中将恶意网页标记为书签的话就会出现这个漏洞。然后恶意的网页就会打开特权页面，注入JavaScript。这可能导致以受害客户端用户的权限执行任意代码。

<*来源：Kohei Yoshino
  
  链接：http://www.mozilla.org/security/announce/mfsa2005-31.html
        http://www.auscert.org.au/render.html?it=4928
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 不要使用侧栏面板。

厂商补丁：

Mozilla
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载1.0.2版本：

Mozilla Firefox 0.8:
      Mozilla Upgrade Firefox 1.0.2
      http://www.mozilla.org/products/firefox/
Mozilla Firefox 0.9 rc:
      Mozilla Upgrade Firefox 1.0.2
      http://www.mozilla.org/products/firefox/
Mozilla Firefox 0.9:
      Mozilla Upgrade Firefox 1.0.2
      http://www.mozilla.org/products/firefox/
Mozilla Firefox 0.9.1:
      Mozilla Upgrade Firefox 1.0.2
      http://www.mozilla.org/products/firefox/
Mozilla Firefox 0.9.2:
      Mozilla Upgrade Firefox 1.0.2
      http://www.mozilla.org/products/firefox/
Mozilla Firefox 0.9.3:
      Mozilla Upgrade Firefox 1.0.2
      http://www.mozilla.org/products/firefox/
Mozilla Firefox 1.0:
      Mozilla Upgrade Firefox 1.0.2
      http://www.mozilla.org/products/firefox/
Mozilla Firefox 1.0.1:
      Mozilla Upgrade Firefox 1.0.2
      http://www.mozilla.org/products/firefox/

浏览次数：2952
严重程度：0（网友投票）