漏洞信息详情
Mozilla Firefox SSL证书验证安全漏洞
- CNNVD编号:CNNVD-201105-304
- 危害等级: 中危
- CVE编号: CVE-2011-0082
- 漏洞类型: 输入验证
- 发布时间: 1900-01-01
- 威胁类型: 远程
- 更新时间: 2011-06-15
- 厂 商: mozilla
- 漏洞来源: Jakub Wilk.
漏洞简介
Mozilla Mozilla Firefox是美国Mozilla基金会开发的一款开源Web浏览器。
Mozilla Firefox 4.0.x版本中存在SSL证书验证安全漏洞,远程攻击者可利用此漏洞欺骗用户,在SSL HTTP连接中使用无效证书时绕过安全限制,进行钓鱼攻击。
Firefox 4.0.x处理SSL证书的验证和重新验证存在问题。如果用户浏览带可疑证书的网站,Firefox会显示警告。如果这次用户确定了此次会话(没有选择“永久保留此次意外”),然后重启浏览器并重新加载该页面,则该页内容会从Firefox缓存中显示出来。重新加载该页面,会显示安全警告,但错误的指示该站点的证书是有效并已经验证过的,并且没有办法确认此异常。
漏洞公告
目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本: http://www.mozilla.org/
参考网址
来源: bugzilla.redhat.com
链接:https://bugzilla.redhat.com/show_bug.cgi?id=709165
来源: bugzilla.mozilla.org
链接:https://bugzilla.mozilla.org/show_bug.cgi?id=660749
来源: BID
名称: 48064
链接:http://www.securityfocus.com/bid/48064
来源: MLIST
名称: [oss-security] 20110531 Re: CVE request: Firefox doesn't (re)validate certificates when loading HTTPS page
链接:http://openwall.com/lists/oss-security/2011/05/31/9
来源: MLIST
名称: [oss-security] 20110531 CVE request: Firefox doesn't (re)validate certificates when loading HTTPS page
链接:http://openwall.com/lists/oss-security/2011/05/31/4
来源: MLIST
名称: [oss-security] 20110531 Re: CVE request: Firefox doesn't (re)validate certificates when loading HTTPS page
链接:http://openwall.com/lists/oss-security/2011/05/31/18
来源: MLIST
名称: [oss-security] 20110531 Re: CVE request: Firefox doesn't (re)validate certificates when loading HTTPS page
链接:http://openwall.com/lists/oss-security/2011/05/31/14
来源: bugs.debian.org
链接:http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=627552
来源:NSFOCUS 名称:16900 链接:http://www.nsfocus.net/vulndb/16900
受影响实体
- Mozilla Firefox:4.0.1
- Mozilla Firefox:4.0
- Mozilla Firefox:4.0:Beta2
- Mozilla Firefox:4.0:Beta4
- Mozilla Firefox:4.0:Beta3
补丁
暂无
评论