发布日期：2005-05-08
更新日期：2005-05-13

受影响系统：

Mozilla Firefox Preview Release
Mozilla Firefox 1.0.3
Mozilla Firefox 1.0.2
Mozilla Firefox 1.0.1
Mozilla Firefox 1.0
Mozilla Firefox 0.9.3
Mozilla Firefox 0.9.2
Mozilla Firefox 0.9.1
Mozilla Firefox 0.9 rc
Mozilla Firefox 0.8
Mozilla Firefox 0.10.1
Mozilla Firefox 0.10

不受影响系统：

Mozilla Firefox 1.0.4

描述：

---

BUGTRAQ  ID: 13544
CVE(CAN) ID: CVE-2005-1476,CVE-2005-1477

Mozilla Firefox是一款非常流行的开放源码WEB浏览器。

Mozilla Firefox在安装方式的实现上存在漏洞，可能导致无需用户交互就可执行任意代码。

对漏洞的最初分析表明该漏洞可能导致迷惑浏览器状态栏信息，并允许任意脚本获得UniversalXPConnect权限。但据观察这个漏洞还可被远程利用，在有漏洞的计算机上以运行受影响浏览器用户的权限执行特权操作。

<*来源：john smith （edward11@postmaster.co.uk）
        Paul （heatsync@gmail.com）
  
  链接：http://www.mozilla.org/security/announce/mfsa2005-42.html
        http://marc.theaimsgroup.com/?l=bugtraq&m=111549388521910&w=2
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

*  禁用JavaScript:
-在Firefox“工具”菜单中，选择“选项”
-选择“网页特性”对话框
-清除选择“启用JavaScript”复选框
-点击“确定”

厂商补丁：

Mozilla
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载Firefox 1.0.4：

http://www.mozilla.org/products/firefox/

浏览次数：3236
严重程度：0（网友投票）