Mozilla Firefox SVG文档执行跨域脚本漏洞

admin

0
文章

0
评论

2022-07-14 16:48:34 CNNVD漏洞来源：ZONE.CI 全球网 0 阅读模式

漏洞信息详情

Mozilla Firefox SVG文档执行跨域脚本漏洞

CNNVD编号：CNNVD-201002-211
危害等级：中危
CVE编号： CVE-2010-0162
漏洞类型：跨站脚本
发布时间： 2010-02-22
威胁类型：远程
更新时间： 2010-02-24
厂商： mozilla
漏洞来源： Georgi Guninski gu...

漏洞简介

Mozilla Firefox是美国Mozilla基金会开发的一款开源Web浏览器。

Firefox SVG文档存在跨站脚本漏洞。如果通过Content-Type： application/octet-stream提供的SVG文档通过带有type=\"image/svg+xml\"的＜embed＞标签嵌入到了其他的文档中，就会忽略Content-Type正常的处理SVG文档。对于允许任意二进制数据而依赖于Content-Type： application/octet-stream防范脚本执行的站点，上述方式导致绕过了防护机制。攻击者可以以二进制文件的形式上传包含有Javascript的SVG文档，将SVG文档嵌入到其他站点的恶意网页中，然后绕过同源策略从提供SVG的站点获得脚本环境。

漏洞公告

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

Slackware Linux -current

Slackware seamonkey-solibs-2.0.3-i486-1.txz

ftp://ftp.slackware.com/pub/slackware/slackware-current/slackware/l/se amonkey-solibs-2.0.3-i486-1.txz

Slackware seamonkey-2.0.3-i486-1.txz

ftp://ftp.slackware.com/pub/slackware/slackware-current/slackware/xap/ seamonkey-2.0.3-i486-1.txz

Slackware Linux 12.2

Slackware mozilla-Firefox-3.0.18-i686-1.tgz

ftp://ftp.slackware.com/pub/slackware/slackware-12.2/patches/packages/ mozilla-Firefox-3.0.18-i686-1.tgz

Slackware seamonkey-2.0.3-i486-1_slack12.2.tgz

ftp://ftp.slackware.com/pub/slackware/slackware-12.2/patches/packages/ seamonkey-2.0.3-i486-1_slack12.2.tgz

S.u.S.E. openSUSE 11.0

SuSE mozilla-xulrunner190-translations-1.9.0.18-0.1.i586.rpm

http://download.opensuse.org/update/11.0/rpm/i586/mozilla-xulrunner190 -translations-1.9.0.18-0.1.i586.rpm

SuSE mozilla-xulrunner190-1.9.0.18-0.1.i586.rpm

http://download.opensuse.org/update/11.0/rpm/i586/mozilla-xulrunner190 -1.9.0.18-0.1.i586.rpm

SuSE MozillaFirefox-translations-3.0.18-0.1.ppc.rpm

http://download.opensuse.org/update/11.0/rpm/ppc/MozillaFirefox-transl ations-3.0.18-0.1.ppc.rpm

SuSE mozilla-xulrunner190-translations-1.9.0.18-0.1.ppc.rpm

http://download.opensuse.org/update/11.0/rpm/ppc/mozilla-xulrunner190- translations-1.9.0.18-0.1.ppc.rpm

Slackware Linux x86_64 -current

Slackware seamonkey-2.0.3-x86_64-1.txz

ftp://ftp.slackware.com/pub/slackware/slackware64-current/slackware64/ xap/seamonkey-2.0.3-x86_64-1.txz

Slackware seamonkey-solibs-2.0.3-x86_64-1.txz

ftp://ftp.slackware.com/pub/slackware/slackware64-current/slackware64/ l/seamonkey-solibs-2.0.3-x86_64-1.txz

S.u.S.E. openSUSE 11.1

SuSE mozilla-xulrunner190-translations-1.9.0.18-0.1.1.x86_64.rpm

http://download.opensuse.org/update/11.1/rpm/x86_64/mozilla-xulrunner1 90-translations-1.9.0.18-0.1.1.x86_64.rpm

SuSE mozilla-xulrunner190-debugsource-1.9.0.18-0.1.1.i586.rpm

http://download.opensuse.org/debug/update/11.1/rpm/i586/mozilla-xulrun ner190-debugsource-1.9.0.18-0.1.1.i586.rpm

SuSE mozilla-xulrunner190-debugsource-1.9.0.18-0.1.1.ppc.rpm

http://download.opensuse.org/debug/update/11.1/rpm/ppc/mozilla-xulrunn er190-debugsource-1.9.0.18-0.1.1.ppc.rpm

参考网址

来源: bugzilla.mozilla.org

链接:https://bugzilla.mozilla.org/show_bug.cgi?id=455472

来源: XF

名称: mozilla-svg-xss(56363)

链接:http://xforce.iss.net/xforce/xfdb/56363

来源: VUPEN

名称: ADV-2010-0405

链接:http://www.vupen.com/english/advisories/2010/0405

来源: UBUNTU

名称: USN-896-1

链接:http://www.ubuntu.com/usn/USN-896-1

来源: UBUNTU

名称: USN-895-1

链接:http://www.ubuntu.com/usn/USN-895-1

来源: REDHAT

名称: RHSA-2010:0112

链接:http://www.redhat.com/support/errata/RHSA-2010-0112.HTML

来源: www.mozilla.org

链接:http://www.mozilla.org/security/announce/2010/mfsa2010-05.HTML

来源: MANDRIVA

名称: MDVSA-2010:042

链接:http://www.mandriva.com/security/advisories?name=MDVSA-2010:042

来源: DEBIAN

名称: DSA-1999

链接:http://www.debian.org/security/2010/dsa-1999

来源: SECUNIA

名称: 37242

链接:http://secunia.com/advisories/37242

来源: FEDORA

名称: FEDORA-2010-1727

链接:http://lists.fedoraproject.org/pipermail/package-announce/2010-February/035426.HTML

来源: FEDORA

名称: FEDORA-2010-1936

链接:http://lists.fedoraproject.org/pipermail/package-announce/2010-February/035367.HTML

来源: FEDORA

名称: FEDORA-2010-1932

链接:http://lists.fedoraproject.org/pipermail/package-announce/2010-February/035346.HTML

来源：NSFOCUS 名称：14532 链接：http://www.nsfocus.net/vulndb/14532

受影响实体

Mozilla Seamonkey:2.0.2
Mozilla Seamonkey:2.0.1
Mozilla Seamonkey:2.0:Rc2
Mozilla Seamonkey:2.0:Rc1
Mozilla Seamonkey:2.0:Beta_2

补丁

mozilla-xulrunner190-1.9.0.18-0.1.1.i586
python-xpcom190-1.9.0.18-0.1.1.i586
mozilla-xulrunner190-debugsource-1.9.0.18-0.1.i586
mozilla-xulrunner190-devel-1.9.0.18-0.1.i586
MozillaFirefox-debugsource-3.0.18-0.1.1.ppc

特别声明

本站(ZONE.CI)所有文章仅供技术研究，若将其信息做其他用途，由用户承担全部法律及连带责任，本站不承担任何法律及连带责任，请遵守中华人民共和国安全法.

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带

咨询加Q：999999999

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带

ZONE.CI 全球网安全领域涉猎者-乌云独行地带

ZONE.CI 全球网

Plugins

WordPress

Web前端

设计资源

Mozilla Firefox SVG文档执行跨域脚本漏洞

漏洞信息详情

Mozilla Firefox SVG文档执行跨域脚本漏洞

漏洞简介

漏洞公告

参考网址

受影响实体

补丁

Mozilla Firefox SVG文档执行跨域脚本漏洞

Adobe Reader和Acrobat TIFF图像处理缓冲区溢出漏洞

openSUSE devtmpfs根目录特权提升漏洞

MIT Kerberos KDC 'handle_tgt_authdata()' 拒绝服务漏洞

Linux Kernel ‘drivers/connector/connector.c’本地拒绝服务漏洞

IP-Tech JQuarks未明漏洞

Michalin KR MEDIA Pogodny CMS 'index.php' SQL注入漏洞

Webmastersite WSN Guest 'index.php' SQL 注入漏洞

Copperleaf Photolog 'cplphoto.php'SQL注入漏洞

2Enetworx StatCountex web根目录敏感信息泄露漏洞

ZONE.CI 全球网