扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
近日,天融信公司攻防实验室再次挖掘出Mozilla Firefox浏览器中存在的两个严重的JavaScript Prompt Spoofing安全漏洞,远程攻击者可以通过构造欺骗信息获取用户敏感数据。据悉,此次天融信公司发现的安全漏洞影响几乎所有版本的Firefox浏览器,建议用户密切关注Firefox相关漏洞补丁,杜绝安全隐患。
Mozilla Firefox JavaScript 'Prompted Message'伪造漏洞
Bugraq ID: 37230
CVE ID:CVE-2009-4129
CNCVE ID:CNCVE-20094129
此漏洞在其它域中的WEB页上派生JavaScript提示消息,实际情况下,地址栏和浏览器内容是某个域中的内容,但提示的 JavaScript消息由其他不同域的脚本生成,结果造成竞争条件的局面:浏览器开始对另一个域的URL进行导航,但在装载之前,马上生成 JavaScript消息提示,因此JavaScript消息可显示在原来WEB页之上,导致目标用户被提示消息欺骗,造成敏感信息泄漏。
详细信息:http://www.topsec.com.cn/webnews.php?id=269
Mozilla Firefox 'MakeScriptDialogTitle()' URI伪造漏洞
Bugraq ID: 37232
CVE ID:CVE-2009-4130
CNCVE ID:CNCVE-20094130
Mozilla Firefox "nsGlobalWindow.cpp"源文件包含的"MakeScriptDialogTitle"函数负责对脚本对话框标题的处理,设计用于显示"host", "MakeScriptDialogTitle"函数会把URL中的用户名和密码删除,目的是为了防止欺骗伪造,但是由于脚本对话框的宽度被限制和可猜测,因此如果域名足够长,那么只会显示前缀,攻击者借此可以进行URI地址伪造攻击。
详细信息:http://www.topsec.com.cn/webnews.php?id=270
关于天融信公司攻防实验室
天融信攻防实验室由业界资深信息安全研究专家组成。天融信攻防实验室始终致力于发掘并响应瞬息万变的各种安全威胁。目前,天融信攻防实验室主要负责各种安全漏洞研究,IPS攻击特征库的建立与研究,跟踪国内外安全事件等,为天融信公司的产品与服务给予了有力的支撑。天融信攻防实验室已先后发现了动网论坛、国内主流邮箱系统、傲游浏览器、Adobe Flash Player、Google Chrome浏览器、Firefox浏览器等大量严重安全威胁。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者