漏洞信息详情
Mozilla Firefox输入验证漏洞
- CNNVD编号:CNNVD-201007-306
- 危害等级: 中危
- CVE编号: CVE-2010-1210
- 漏洞类型: 输入验证
- 发布时间: 2010-07-21
- 威胁类型: 远程
- 更新时间: 2010-08-26
- 厂 商: mozilla
- 漏洞来源: O. Andersen
漏洞简介
Mozilla Firefox是一款非常流行的开放源码WEB浏览器。
Mozilla Firefox 3.6.7之前的版本和Thunderbird 3.1.1之前的版本中的intl/uconv/util/nsUnicodeDecodeHelper.cpp存在漏洞。在涉及未定义的位置的某种环境中,向文本中插入一个U+FFFD序列,该漏洞可能更容易被远程攻击者通过制作的8位文本进行跨站脚本(XSS)攻击。一些8位编码包含有未定义的位置,映射到了U+FFFD。在显示的时候,可能不会显示紧随之后的字符。例如,windows-1253中的{\'\'\xD1\'\', \'\'\xD2\'\', \'\'\xD3\'\', \'\'xD4\'\'}序列应为{U+3A1, U+FFFD, U+3A3, U+3A4}(也就是字符串Ρ�ΣΤ),但实际结果为{U+3A1, U+FFFD, U+3A4},缺少了U+3A3字符(也就是Ρ�Τ字符串,缺少Σ)。在某些站点上这可能导致跨站脚本问题,因为服务器上过滤掉了某些应显示的字符。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.mozilla.org/
参考网址
来源: bugzilla.mozilla.org
链接:https://bugzilla.mozilla.org/show_bug.cgi?id=564679
来源: www.mozilla.org
链接:http://www.mozilla.org/security/announce/2010/mfsa2010-44.HTML
来源:NSFOCUS 名称:15486 链接:http://www.nsfocus.net/vulndb/15486
受影响实体
- Mozilla Firefox:2.0.0.20
- Mozilla Firefox:2.0.0.21
- Mozilla Firefox:2.0.0.19
- Mozilla Firefox:2.0.0.18
- Mozilla Firefox:2.0.0.14
补丁
暂无
评论