Firefox Yoono扩展DOM事件处理器跨域脚本执行漏洞

来源:岁月联盟 编辑:zhuzhu 时间:2009-12-05
Firefox Yoono扩展DOM事件处理器跨域脚本执行漏洞 影响版本:
Mozilla Yoono 6.1.1漏洞描述:
BUGTRAQ  ID: 37123
CVE(CAN) ID: CVE-2009-4100

Yoono是一个简单易用的Firefox侧栏,允许用户方便的连接到Facebook、MySpace等社会网络和AIM等即时聊天工具。

Yoono在处理onLoad标签等DOM事件处理器时没有正确地过滤用户输入,用户受骗加载了恶意的RSS源就可能导致向用户浏览器中注入恶意脚本,并以chrome:权限执行。<*参考 
http://secunia.com/advisories/37468/
http://www.net-security.org/secworld.php?id=8527
*>
SEBUG安全建议:
厂商补丁:

Mozilla
-------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

https://addons.mozilla.org/vi/firefox/addon/1833?lang=zh-CN