安全研究
安全漏洞
Mozilla OnUnload事件例程远程信息泄露漏洞
发布日期:2002-09-11
更新日期:2002-09-18
受影响系统:Mozilla Browser 1.1
Mozilla Browser 1.0.1
Mozilla Browser 1.0
Mozilla Browser 0.9.9
Mozilla Browser 0.9.8
Mozilla Browser 0.9.7
Mozilla Browser 0.9.6
Mozilla Browser 0.9.5
Mozilla Browser 0.9.4
Mozilla Browser 0.9.3
- Apple MacOS 9.2
- Apple MacOS 9.1
- Apple MacOS 9.0
- BeOS 5.0
- BSDI BSD/OS 4.2
- Compaq OpenVMS 7.3
- Compaq OpenVMS 7.2-2
- Compaq OpenVMS 7.1-2
- FreeBSD 4.0
- IBM AIX 4.3.3
- Microsoft Windows NT 4.0
- Microsoft Windows ME
- Microsoft Windows 98
- Microsoft Windows 2000 Professional SP2
- Microsoft Windows 2000 Professional SP1
- Microsoft Windows 2000 Professional
- RedHat Linux 7.0 sparc
- RedHat Linux 7.0 x86
- RedHat Linux 7.0 alpha
- RedHat Linux 6.0 sparc
- RedHat Linux 6.0
- RedHat Linux 6.0 alpha
- SGI IRIX 6.5
- Sun Solaris 8.0
- Sun Solaris 7.0
描述:
BUGTRAQ ID:
5694
CVE(CAN) ID:
CVE-2002-1126
Mozilla是一款流行的开放源代码的WEB浏览器。
Mozilla在脚本"onUnload"事件处理例程实现上存在问题,远程攻击者可以利用这个漏洞获得目标用户系统上的敏感信息,如要访问的WEB页面信息。
当其他页面使用这个"onUnload"事件处理例程弹出的时候,有此漏洞的客户端会把要被访问的下页地址封装在HTTP Referer字段中,而正确的操作行为是把上一页访问过的地址包含到HTTP Referer字段中,攻击者利用这个事件处理例程,通过构建恶意WEB页,诱使用户点击,可导致泄露要被访问的下页页面信息。
<*来源:Sven Neuhaus (
sn@neopoly.com)
链接:
http://marc.theaimsgroup.com/?l=bugtraq&m=103176760004720&w=2
*>
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 暂时关闭Mozilla的Javascript功能。
厂商补丁:
Mozilla
-------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.mozilla.org/浏览次数:3524
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |