当前位置: 安全纵横 > 安全公告

Firefox window.opener属性Chrome权限提升漏洞

更新日期:2009-12-15
受影响系统:
Mozilla Firefox 3.5.x
Mozilla Firefox 3.0.x
Mozilla SeaMonkey 2.0
描述:
Firefox是一款流行的开源WEB浏览器。
chrome窗口所打开的内容窗口通过window.opener属性保持对chrome窗口的引用。使用这个引用,新窗口中的内容就可以访问 chrome窗口中的函数,如eval,并使用这些函数以chrome权限执行任意JavaScript代码。在常见的Mozilla浏览器中攻击者无法导致出现这些应用对话框,也无法利用这个漏洞自动加载攻击代码,但有些附加组件可能以这种方式打开恶意的Web内容。
厂商补丁:
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.mozilla.org/