微点交流论坛

标题: Firefox 字符集继承时缓冲溢出 [打印本页]

作者: pioneer 时间: 2007-12-12 09:31 标题: Firefox 字符集继承时缓冲溢出

来源

secunia.com

软件名

Mozilla Firefox 2.0.x

描述

这可恶意进行跨站脚本攻击
嵌入的框架继承父字符集框架时，字符集可被手动设置，这可在用户会话时通过在恶意页面中包含框架导致执行任意html和脚本代码
执行成功需要目标用户被骗改变父页面的字符集为 UTF-7

该漏洞在Firefox 2.0.0.11中已经确认，其它版本可能也受到影响

解决方案

不要手动改变字符编码，不要浏览恶意网页

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn