在 2.0.0.12 发布完没几个钟头,firefox 扩展 Fire Encrypter 的作者 Ronald van den Heetkamp 就发现了一个可能造成用户浏览器所有设置信息泄露的漏洞,这个漏洞是这样的:
- 大家都知道在浏览器中可以使用 view-source 命令来获取目标资源的信息,比如您现在在 FF 的地址栏输入 view-source:http://blog.mozine.cn ,是不是就可以看到 Mozine Log 的源代码?
- 好,现在请同学们在地址栏里输入 resource:///,如果大家是在使用 Windows 的话,是不是浏览器会列出 C:/Program Files/Mozilla Firefox 目录呢?
- 那么将上面两者结合起来,在地址栏输入 view-source:resource:///greprefs/all.js 呢?
- 嗯,就是这样的。如果别有企图的人将上面两条命令结合起来,做成 js 然后使大家在不知情的情况下运行这个脚本,就可以获取用户在 FF 安装目录的所有信息甚至是 FF 的隐私设置,比如说下面的这个 JS 脚本:
<script>
pref = function(a,b)
{
document.write( a + \\' -> \\' + b + \\' \\');
}; </script>
<script src="view-source:resource:///greprefs/all.js"></script>
目前除了使用扩展No script禁用js,还没有什么方法解决此问题
转载请注明:No.77 疯人院 - 游戏业界新闻 - 主机游戏资料攻略 » Firefox 2.0.0.12 出现新漏洞