发布日期：2005-04-19
更新日期：2005-05-13

受影响系统：

Mozilla Firefox 1.0.3
Mozilla Firefox 1.0.2
Mozilla Mozilla Suite 1.7.7之前版本

不受影响系统：

Mozilla Firefox 1.0.4
Mozilla Mozilla Suite 1.7.8

描述：

---

BUGTRAQ  ID: 13208
CVE(CAN) ID: CVE-2005-0752

Firefox是一款非常流行的开放源码WEB浏览器。链接标签允许用户加载自定义图形用作地址栏和标签标题中显示的站点图标。

Firefox对链接标签的处理上存在漏洞，攻击者可能在其中插入恶意代码使用户执行。

攻击者可以将这个标签的HREF属性设置为JavaScript URL，调用chrome函数，不经用户交互便可执行任意代码。

<*来源：Michael Krax
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=111383925722831&w=2
        http://www.mozilla.org/security/announce/mfsa2005-37.html
        http://www.mozilla.org/security/announce/mfsa2005-43.html
        http://lwn.net/Alerts/133058/?format=printable
        *>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 禁用JavaScript。

厂商补丁：

Mozilla
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载Firefox 1.0.4或Mozilla Suite 1.7.8：

http://www.mozilla.org/products/firefox/
http://www.mozilla.org/products/mozilla1.x/

浏览次数：3418
严重程度：0（网友投票）