发布日期：2005-09-26
更新日期：2005-09-26

受影响系统：

Mozilla Browser < 1.7.12
Mozilla Firefox < 1.0.7

不受影响系统：

Mozilla Browser 1.7.12
Mozilla Firefox 1.0.7

描述：

---

BUGTRAQ  ID: 14923
CVE(CAN) ID: CVE-2005-2703

Mozilla Browser和Firefox都是非常流行的开放源码WEB浏览器。

Mozilla和Firefox浏览器中存在任意HTTP请求注入漏洞，成功利用这个漏洞的攻击者可以绕过XMLHttpRequest的同源限制，如读取防火墙中内网服务器上的文件。

攻击者可以向XMLHttpRequest添加非法的畸形首部，从用户机器攻击服务器或代理漏洞，或诱骗服务器或代理相信单个请求是一些独立请求流。



<*来源：Tim Altman
        Yutaka Oiwa
  
  链接：http://www.mozilla.org/security/announce/mfsa2005-58.html
        http://lwn.net/Alerts/152838/?format=printable
        http://lwn.net/Alerts/152837/?format=printable
*>

建议：

---

厂商补丁：

Mozilla
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

* Mozilla Upgrade Mozilla 1.7.12
http://www.mozilla.org/products/mozilla1.x/

* Mozilla Upgrade Firefox 1.0.7
http://www.mozilla.org/products/firefox/

浏览次数：3077
严重程度：0（网友投票）