Mozilla Firefox before 1.8.0.13 and... CVE-2007-3656 CNNVD-200707-148

6.8 AV AC AU C I A
发布: 2007-07-10
修订: 2018-10-15

Mozilla Firefox是一款非常流行的开源WEB浏览器。 Firefox实现的wyciwyg://伪URI资源类型的访问控制存在漏洞,远程攻击者可能利用此漏洞获取Web浏览器相关的敏感信息。 wyciwyg://伪URI资源类型用于整理和引用本地所缓存的页面,但wyciwyg:// URI的访问控制并不充分,用户可通过XMLHttpRequest或IFRAMEd view-source:访问所缓存的文档。尽管仍正确地实现同域策略,但恶意站点可以绕过cookie设置向用户计算机存储任意标记;如果结合HTTP 302重新定向,攻击者还可以绕过同域策略窃取站点之前所显示的敏感信息、破坏缓存或执行URL栏欺骗。

0%

漏洞利用/PoC

暂无可用Exp或PoC

受影响的平台与产品

当前有31条受影响产品信息