漏洞信息详情
Firefox "Basic Realm"基础认证头欺骗漏洞
- CNNVD编号:CNNVD-200801-317
- 危害等级: 中危
- CVE编号: CVE-2008-0367
- 漏洞类型: 信息泄露
- 发布时间: 2008-01-18
- 威胁类型: 远程
- 更新时间: 2008-10-23
- 厂 商: mozilla
- 漏洞来源: Aviv Raff avivra@...
漏洞简介
Firefox是Mozilla公司的web浏览器软件,是一款非常流行的开放源码WEB浏览器。
Firefox会在所访问的Web服务器返回401状态代码时显示认证对话和WWW-Authenticate头。如果要指定基础认证,WWW-Authenticate头必须设置了[Basic realm=XXX]值,然后会在认证对话窗口中显示Realm的值(也就是XXX)。
尽管Firefox不会显示双引号()后WWW-Authenticate头Realm值中的字符,但没有过滤单引号(\'\')和空格,因此攻击者就可以创建特制的Realm值,使认证对话看起来好像来自于可信任的站点,这样就可以执行网络钓鱼攻击。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
http://www.mozilla.org/
参考网址
来源: bugzilla.mozilla.org
链接:https://bugzilla.mozilla.org/show_bug.cgi?id=244273
来源: BID
名称: 27111
链接:http://www.securityfocus.com/bid/27111
来源: BUGTRAQ
名称: 20080103 Re: [Full-disclosure] Yet another Dialog Spoofing Vulnerability - Firefox Basic Authentication
链接:http://www.securityfocus.com/archive/1/archive/1/485738/100/200/threaded
来源: BUGTRAQ
名称: 20080103 Yet another Dialog Spoofing Vulnerability - Firefox Basic Authentication
链接:http://www.securityfocus.com/archive/1/archive/1/485732/100/200/threaded
来源: blog.mozilla.com
链接:http://blog.mozilla.com/security/2008/01/04/basicauth-dialog-realm-value-spoofing/
来源: MISC
链接:http://aviv.raffon.net/2008/01/05/FirefoxDialogSpoofingFAQ.aspx
来源: MISC
链接:http://aviv.raffon.net/2008/01/02/YetAnotherDialogSpoofingFirefoxBasicAuthentication.aspx
受影响实体
补丁
暂无
评论