|
中华网络安全联盟 来源:奇趣 时间:2007-10-27 16:25:00
发布日期:2007-04-25
更新日期:2007-10-23
受影响系统:Mozilla Firefox < 2.0.0.8
Mozilla Thunderbird < 2.0.0.8
Mozilla SeaMonkey < 1.1.5 不受影响系统:Mozilla Firefox 2.0.0.8
Mozilla Thunderbird 2.0.0.8
Mozilla SeaMonkey 1.1.5 描述:
BUGTRAQ ID: 25543
CVE(CAN) ID: CVE-2007-4841
Firefox是一款流行的开源WEB浏览器。
Firefox在处理URI调用协议处理器时存在漏洞,恶意网页可能利用此漏洞控制用户系统。
在安装了IE 7的Windows XP系统中,如果URI中包含有“'%”之后跟随无效的16进制序列或“%00”的话,就会导致基于扩展名启动外部协议处理器。受影响的URI主题包括http、https、ftp、file、gopher、telnet、mailto、news、snews、nttp、wais、mk等。MFSA 2007-27提供的补丁修复了这个漏洞,但没有防范错误的加载文件处理程序,如果用户受骗使用Firefox跟随了恶意的链接的话,就可能导致加载错误的协议处理程序。
<*来源:Daniel Veditz
Billy Rios
链接:https://bugzilla.mozilla.org/show_bug.cgi?format=multiple&id=394974
http://www.mozilla.org/security/announce/2007/mfsa2007-36.html
http://xs-sniper.com/blog/2007/09/01/firefox-file-handling-woes/
https://www.redhat.com/support/errata/RHSA-2007-0981.html
https://www.redhat.com/support/errata/RHSA-2007-0980.html
https://www.redhat.com/support/errata/RHSA-2007-0979.html
*>
建议:
厂商补丁:
Mozilla
-------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.mozilla.org/projects/seamonkey/
http://www.mozilla.com/en-US/firefox/
http://www.mozilla.com/en-US/thunderbird/
RedHat
------
RedHat已经为此发布了安全公告(RHSA-2007:0979-01,RHSA-2007:0981-01,RHSA-2007:0980-01)以及相应补丁:
RHSA-2007:0979-01:Critical: firefox security update
链接:https://www.redhat.com/support/errata/RHSA-2007-0979.html
RHSA-2007:0981-01:Moderate: thunderbird security update
链接:https://www.redhat.com/support/errata/RHSA-2007-0981.html
RHSA-2007:0980-01:Critical: seamonkey security update
链接:https://www.redhat.com/support/errata/RHSA-2007-0980.html |
