最新消息:2008-2023,十五年。青青子吟,悠悠我心。但为君故,沉吟至今。

Firefox 2.0.0.12 出现新漏洞

推荐软件与IT类 Lafirel 2338浏览 0评论

      在 2.0.0.12 发布完没几个钟头,firefox 扩展 Fire Encrypter 的作者 Ronald van den Heetkamp 就发现了一个可能造成用户浏览器所有设置信息泄露的漏洞,这个漏洞是这样的:

  • 大家都知道在浏览器中可以使用 view-source 命令来获取目标资源的信息,比如您现在在 FF 的地址栏输入 view-source:http://blog.mozine.cn ,是不是就可以看到 Mozine Log 的源代码?
  • 好,现在请同学们在地址栏里输入 resource:///,如果大家是在使用 Windows 的话,是不是浏览器会列出 C:/Program Files/Mozilla Firefox 目录呢?
  • 那么将上面两者结合起来,在地址栏输入 view-source:resource:///greprefs/all.js 呢?
  • 嗯,就是这样的。如果别有企图的人将上面两条命令结合起来,做成 js 然后使大家在不知情的情况下运行这个脚本,就可以获取用户在 FF 安装目录的所有信息甚至是 FF 的隐私设置,比如说下面的这个 JS 脚本:

<script>
pref = function(a,b)
{
document.write( a + \\' -> \\' + b + \\' \\');
}; </script>
<script src="view-source:resource:///greprefs/all.js"></script>

         目前除了使用扩展No script禁用js,还没有什么方法解决此问题

转载请注明:No.77 疯人院 - 游戏业界新闻 - 主机游戏资料攻略 » Firefox 2.0.0.12 出现新漏洞

发表我的评论
取消评论
0+8 (必填)

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址