Mozilla Firefox 的兩個漏洞

Firefox 被發現存在兩個漏洞，惡意的人可以利用這些漏洞執行跨網腳本程式 (cross-site scripting) 和控制使用者的系統。

1) "IFRAME" JavaScript URLs 存在漏洞，它沒有適當地防止瀏覽記錄中的 URL 被另一方執行。利用這漏洞可以在任意的網站範圍內，在使用者瀏覽器的會話期間執行任意的 HTML 和腳本程式。

2) 傳送到 "InstallTrigger.install()" 的 "IconURL" 參數資料在使用前沒有適當地驗證。這漏洞可以透過一個特製的 JavaScript URL ，能夠以更高權限去執行任意的 JavaScript 程式碼。

影響

成功的攻擊需要網站被設定為允許安裝軟件 （預設允許的網站是 "update.mozilla.org" 和 "addons.mozilla.org"）。
合併使用漏洞 1 和 2 ，能夠執行任意的程式碼
受影響的系統

Mozilla Firefox 1.x
解決方案

請於安裝修補程式前瀏覽軟件供應商之網頁，以獲得更詳盡資料。

更新到 1.0.4 版本


http://www.mozilla.org.../firefox/