发布日期：2014-09-02
更新日期：2014-09-03

受影响系统：

Mozilla Firefox
Mozilla Thunderbird

描述：

---

BUGTRAQ  ID: 69525
CVE(CAN) ID: CVE-2014-1564

Firefox/Thunderbird/SeaMonkey是Mozilla所发布的WEB浏览器和邮件/新闻组客户端。

Mozilla Firefox、Thunderbird在实现上存在多个信息泄露问题，攻击者可利用这些漏洞突破同源策略获取敏感信息，可能绕过地址随机化保护策略(ASLR)。

<*来源：Michal Zalewski
  
  链接：http://lcamtuf.blogspot.nl/2014/09/cve-2014-1564-uninitialized-memory-when.html
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

Michal Zalewski搭建了一个POC的测试环境，见
http://lcamtuf.coredump.cx/ffgif/

POC代码见
http://cxsecurity.com/issue/WLB-2014090017

建议：

---

厂商补丁：

Mozilla
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.mozilla.org/security/

浏览次数：1854
严重程度：0（网友投票）