VULHUB ™

BUGTRAQ ID: 41860 CVE ID: CVE-2010-2754 Firefox是一款流行的开源WEB浏览器。 Firefox中的脚本出错处理方式会显示错误的来源，其中可能包含有敏感信息。假设 http://SampleSite.com/admin.asp 页面使用了以下逻辑： 1- 如果用户没有登录，重新定向到登录页面。 2- 如果用户不是管理员，重新定向到拒绝访问页面。 3- 如果用户为管理员，显示管理员菜单。 攻击者可以使用跨站URL劫持技术确认用户在SampleSite.com所处的状态，并继续执行有针对性的攻击。 Mozilla Firefox 3.6.x Mozilla Firefox 3.5.x Mozilla Thunderbird 3.1.x Mozilla Thunderbird 3.0.x Mozilla SeaMonkey < 2.0.6 厂商补丁： Mozilla ------- 目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： http://www.mozilla.org/ RedHat ------ RedHat已经为此发布了一个安全公告（RHSA-2010:0546-01）以及相应补丁: RHSA-2010:0546-01：Critical: seamonkey security update 链接：https://www.redhat.com/support/errata/RHSA-2010-0546.html

BUGTRAQ ID: 41860 CVE ID: CVE-2010-2754 Firefox是一款流行的开源WEB浏览器。 Firefox中的脚本出错处理方式会显示错误的来源，其中可能包含有敏感信息。假设 http://SampleSite.com/admin.asp 页面使用了以下逻辑： 1- 如果用户没有登录，重新定向到登录页面。 2- 如果用户不是管理员，重新定向到拒绝访问页面。 3- 如果用户为管理员，显示管理员菜单。 攻击者可以使用跨站URL劫持技术确认用户在SampleSite.com所处的状态，并继续执行有针对性的攻击。 Mozilla Firefox 3.6.x Mozilla Firefox 3.5.x Mozilla Thunderbird 3.1.x Mozilla Thunderbird 3.0.x Mozilla SeaMonkey < 2.0.6 厂商补丁： Mozilla ------- 目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： http://www.mozilla.org/ RedHat ------ RedHat已经为此发布了一个安全公告（RHSA-2010:0546-01）以及相应补丁: RHSA-2010:0546-01：Critical: seamonkey security update 链接：https://www.redhat.com/support/errata/RHSA-2010-0546.html