Mozilla Firefox WYCIWYG://URI绕过缓存限制漏洞

受影响系统：
Mozilla Firefox 1.8 it55.com

不受影响系统：
Mozilla Firefox 1.8.1.5
Mozilla Firefox 1.8.0.13

描述：
Mozilla Firefox是一款非常流行的开源WEB浏览器。 www.it55.com

Firefox实现的wyciwyg://伪URI资源类型的访问控制存在漏洞，远程攻击者可能利用此漏洞获取Web浏览器相关的敏感信息。

http://www.it55.com/

wyciwyg://伪URI资源类型用于整理和引用本地所缓存的页面，但wyciwyg:// URI的访问控制并不充分，用户可通过XMLHttpRequest或IFRAMEd view-source:访问所缓存的文档。尽管仍正确地实现同域策略，但恶意站点可以绕过cookie设置向用户计算机存储任意标记；如果结合HTTP 302重新定向，攻击者还可以绕过同域策略窃取站点之前所显示的敏感信息、破坏缓存或执行URL栏欺骗。

IT资讯之家 www.it55.com

厂商补丁：
Mozilla
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://bugzilla.mozilla.org/attachment.cgi?id=271479 www.it55.com在线教程

（阅读次数：）