Mozilla Firefox浏览器 Jar URI处理跨站脚本漏洞
来源:岁月联盟
时间:2007-11-14
Mozilla Firefox 2.0.x
描述:
BUGTRAQ ID: 26385
Mozilla Firefox是一款流行的开源WEB浏览器。jar:协议用于从ZIP压缩文件中解压内容,基于Mozilla的浏览器支持jar:[url]![/path/to/file.ext]形式的jar: URI。
Firefox中的jar:协议处理器没有正确地验证文档的MIME类型内容,如果安全者能够向站点上传某些.zip、.png、.doc、.odt、.txt等文件的话,则用户访问了恶意站点就会导致跨站脚本安全。
厂商补丁:
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.mozilla.org/
