发布日期：2010-03-24
更新日期：2010-03-25

受影响系统：

Mozilla Firefox 3.6
Mozilla Firefox 3.5.x
Mozilla Firefox 3.0.x
Mozilla Thunderbird 3.0
Mozilla SeaMonkey 2.0

不受影响系统：

Mozilla Firefox 3.6.2
Mozilla Firefox 3.5.8
Mozilla Firefox 3.0.18
Mozilla Thunderbird 3.0.2
Mozilla SeaMonkey 2.0.3

描述：

---

BUGTRAQ  ID: 38946
CVE(CAN) ID: CVE-2010-0171

Firefox是一款流行的开源WEB浏览器。

Firefox的addEventListener和setTimeout实现中存在安全漏洞，用户可以通过使用包装的对象绕过MFSA 2007-19所提供的修复执行跨站脚本攻击；由于Firefox 3.6浏览器引擎中的更改，对这个版本的攻击仅限于从跨来源帧或窗口捕获键盘敲击事件。

<*来源：moz_bug_r_a4 （moz_bug_r_a4@yahoo.com）
  
  链接：http://secunia.com/advisories/38608/
        http://www.mozilla.org/security/announce/2010/mfsa2010-12.html
*>

建议：

---

厂商补丁：

Mozilla
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.mozilla.org/

浏览次数：2294
严重程度：0（网友投票）