发布日期：2007-07-18
更新日期：2007-07-19

受影响系统：

Mozilla Firefox < 2.0.0.5

不受影响系统：

Mozilla Firefox 2.0.0.5

描述：

---

BUGTRAQ  ID: 24946
CVE(CAN) ID: CVE-2007-3734,CVE-2007-3735,CVE-2007-3736,CVE-2007-3737,CVE-2007-3738

Mozilla Firefox是一款流行的开源WEB浏览器。

Firefox的浏览器引擎和JavaScript引擎中存在多个内存破坏漏洞，可能允许攻击者导致浏览器崩溃。

addEventListener和setTimeout方式中的漏洞可能允许攻击者破坏浏览器的同源策略向其他站点注入脚本，访问或修改该站点的保密或敏感数据。

攻击者可以使用文档外的元素调用事件处理器，这可能导致以chrome权限执行任意代码。

攻击者可以修改XPCNativeWrapper，导致浏览器之后的访问会执行用户所提供的代码。

<*来源：shutdown （shutdown@flashmail.com）
        moz_bug_r_a4 （moz_bug_r_a4@yahoo.com）
        Bernd Mielke
        Boris Zbarsky
  
  链接：http://secunia.com/advisories/23282/
        http://www.mozilla.org/security/announce/2007/mfsa2007-18.html
        http://www.mozilla.org/security/announce/2007/mfsa2007-19.html
        http://www.mozilla.org/security/announce/2007/mfsa2007-21.html
        http://www.mozilla.org/security/announce/2007/mfsa2007-25.html
        http://www.us-cert.gov/cas/techalerts/TA07-199A.html
        https://www.redhat.com/support/errata/RHSA-2007-0723.html
        https://www.redhat.com/support/errata/RHSA-2007-0724.html
        https://www.redhat.com/support/errata/RHSA-2007-0722.html
*>

建议：

---

厂商补丁：

Mozilla
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

ftp://ftp.mozilla.org/pub/mozilla.org/firefox/releases/2.0.0.5

RedHat
------
RedHat已经为此发布了安全公告（RHSA-2007:0723-01，RHSA-2007:0724-01，RHSA-2007:0722-01）以及相应补丁:
RHSA-2007:0723-01：Moderate: thunderbird security update
链接：https://www.redhat.com/support/errata/RHSA-2007-0723.html

RHSA-2007:0724-01：Critical: firefox security update
链接：https://www.redhat.com/support/errata/RHSA-2007-0724.html

RHSA-2007:0722-01：Critical: seamonkey security update
链接：https://www.redhat.com/support/errata/RHSA-2007-0722.html

浏览次数：2675
严重程度：0（网友投票）