发布日期：2005-09-26
更新日期：2005-09-26

受影响系统：

Mozilla Browser < 1.7.12
Mozilla Firefox < 1.0.7

不受影响系统：

Mozilla Browser 1.7.12
Mozilla Firefox 1.0.7

描述：

---

BUGTRAQ  ID: 14920
CVE(CAN) ID: CVE-2005-2706

Mozilla Browser和Firefox都是非常流行的开放源码WEB浏览器。

远程攻击者可以绕过从非特权的"about:"页面加载高权限"chrome"页面的限制。这本身并不是漏洞，因为一旦"about"页面的权限获得提升的话，就无法再访问原始页面。但如果同其他同源破坏漏洞结合使用这个漏洞的话，就可能导致执行任意代码。

<*来源：shutdown （shutdown@flashmail.com）
        Paul （heatsync@gmail.com）
  
  链接：http://www.mozilla.org/security/announce/mfsa2005-58.html
        http://lwn.net/Alerts/152838/?format=printable
        http://lwn.net/Alerts/152837/?format=printable
*>

建议：

---

厂商补丁：

Mozilla
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

* Mozilla Upgrade Firefox 1.0.7
http://www.mozilla.org/products/firefox/

* Mozilla Upgrade Mozilla 1.7.12
http://www.mozilla.org/products/mozilla1.x/

浏览次数：3093
严重程度：0（网友投票）