Firefox JavaScript favicons代码插入执行漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1199827 漏洞类型 访问验证错误
发布时间 2005-04-16 更新时间 2007-02-22
CVE编号 CVE-2005-0752 CNNVD-ID CNNVD-200504-073
漏洞平台 N/A CVSS评分 7.5
|漏洞来源
https://www.securityfocus.com/bid/13228
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200504-073
|漏洞详情
Firefox是一款非常流行的开放源码WEB浏览器。链接标签允许用户加载自定义图形用作地址栏和标签标题中显示的站点图标。Firefox对链接标签的处理上存在漏洞,攻击者可能在其中插入恶意代码使用户执行。攻击者可以将这个标签的HREF属性设置为JavaScriptURL,调用chrome函数,不经用户交互便可执行任意代码。
|受影响的产品
SuSE SUSE Linux Enterprise Server 8 + Linux kernel 2.4.21 + Linux kernel 2.4.19 SuSE Linux Enterprise Server 9 SuSE Linux D
|参考资料

来源:REDHAT
名称:RHSA-2005:383
链接:http://www.redhat.com/support/errata/RHSA-2005-383.html
来源:www.mozilla.org
链接:http://www.mozilla.org/security/announce/mfsa2005-34.html
来源:SECUNIA
名称:14938
链接:http://secunia.com/advisories/14938
来源:BID
名称:13228
链接:http://www.securityfocus.com/bid/13228
来源:USGovernmentResource:oval:org.mitre.oval:def:100024
名称:oval:org.mitre.oval:def:100024
链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:100024