Mozilla Firefox/Thunderbird/SeaMonkey Enter Key对话框绕过漏洞

出处：绿盟科技作者：绿盟科技时间：2011-9-29 17:38:30

发布日期：2011-09-27
更新日期：2011-09-27

受影响系统：

Mozilla Firefox 3.6.x
Mozilla Thunderbird 3.x
Mozilla SeaMonkey 2.x

不受影响系统：

Mozilla Firefox 7
Mozilla Thunderbird 7.0
Mozilla SeaMonkey 2.4

描述：

BUGTRAQ  ID: 49811
CVE ID: CVE-2011-2372

Firefox是一款非常流行的开源WEB浏览器。Thunderbird是一个邮件客户端，支持IMAP、POP邮件协议以及HTML邮件格式。SeaMonkey是开源的Web浏览器、邮件和新闻组客户端、IRC会话客户端和HTML编辑器。

Mozilla Firefox/Thunderbird/SeaMonkey在处理回车键时存在安全漏洞，造成以当前用户权限执行非法操作。

如果诱使用户按住回车键，则会弹出下载对话框，然后执行默认的打开操作。对于某些文件类型可能就执行任意代码，使攻击者利用其它漏洞。另外使用PLUGINSPAGE属性手动安装插件时，可能会造成内部错误（此变量不影响Firefox 3.6)。

<*来源：Mariusz Mlynski

  链接：http://www.mozilla.org/security/announce/2011/mfsa2011-40.html
*>

建议：

厂商补丁：

Mozilla
-------
Mozilla已经为此发布了一个安全公告（mfsa2011-40）以及相应补丁:

mfsa2011-40：Code installation through holding down Enter

链接：http://www.mozilla.org/security/announce/2011/mfsa2011-40.html

分享到：

最新专题

鸟哥的Linux私房菜之Mail服务器

Exchange Server 2010技术专题

Windows 7 技术专题

Sendmail 邮件系统配置

组建Exchange 2003邮件系统

Windows Server 2008 专题

ORF 反垃圾邮件系统

Exchange Server 2007 专题

分类导航

邮件网络安全

Mozilla Firefox/Thunderbird/SeaMonkey Enter Key对话框绕过漏洞