Mozilla Firefox临时文件下载可预测路径名漏洞
来源:岁月联盟
时间:2009-10-01
Mozilla Firefox 3.6 a1
Mozilla Firefox 3.5.2漏洞描述:
CVE ID: CVE-2009-3274
Firefox是一款流行的开源WEB浏览器。
运行在Linux平台上的Firefox对从“下载”窗口所选择的文件使用了可预测的/tmp路径名,本地用户可以在下载之前在/tmp位置放置文件来替换下载文件,之后用户可能受骗打开已被替换了的文件。<*参考
http://secunia.com/advisories/36649/
http://securitytube.net/Zero-Day-Demos-(Firefox-Vulnerability-Discovered)-video.aspx
http://jbrownsec.blogspot.com/2009/09/vamos-updates.html
*>
SEBUG安全建议:
厂商补丁:
Mozilla
-------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.mozilla.org/
