Mozilla / Netscape 6 XMLHttpRequest文件泄露漏洞

漏洞信息详情

Mozilla / Netscape 6 XMLHttpRequest文件泄露漏洞

• CNNVD编号：CNNVD-200206-084
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2002-0354
  
• 漏洞类型：
  
  
  设计错误
  
• 发布时间：
  
  2002-04-30
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  netscape
• 漏洞来源：
  GreyMagic Software…

Mozilla是一款免费开放源代码的WEB浏览器，运行在多种Linux和Unix操作系统下，也可运行在MacOS和Microsoft Windows 9x/ME/NT/2000/XP操作系统下，Netscape是另一个款运行在多种系统平台下的流行的WEB浏览器。
Mozilla和Netscape 6在处理HTTP重定向到XMLHttpRequest对象时存在漏洞，可导致远程攻击者查看目标用户系统上的任意文件内容。
XMLHttpRequest对象允许一客户端机器通过HTTP请求获得XML文档。如果服务器响应这个HTTP请求重定向到用户本地的文件，就可以绕过安全检查并使文件可访问，造成敏感信息泄露。这可通过使用\’\’open\’\’模式打开一个重定向本地文件的WEB页面完成。
据报告，此问题也存在load模式使用在由DOMImplementation接口的createDocument模式建立的XML文档。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 不要用浏览器随意浏览不可信站点和页面。
厂商补丁：
Mozilla
——-
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

Mozilla Browser 0.9.7:

Mozilla Upgrade mozilla-source-1.0.rc1.tar.gz

http://ftp.mozilla.org/pub/mozilla/releases/mozilla1.0rc1/src/mozilla-source-1.0.rc1.tar.gz” target=”_blank”>
http://ftp.mozilla.org/pub/mozilla/releases/mozilla1.0rc1/src/mozilla-source-1.0.rc1.tar.gz

Fixed if date is later than May 02, 2002.

Mozilla Browser 0.9.8:

Mozilla Upgrade mozilla-source-1.0.rc1.tar.gz

http://ftp.mozilla.org/pub/mozilla/releases/mozilla1.0rc1/src/mozilla-source-1.0.rc1.tar.gz” target=”_blank”>
http://ftp.mozilla.org/pub/mozilla/releases/mozilla1.0rc1/src/mozilla-source-1.0.rc1.tar.gz

Fixed if date is later than May 02, 2002.

Mozilla Browser 0.9.9:

Mozilla Upgrade mozilla-source-1.0.rc1.tar.gz

http://ftp.mozilla.org/pub/mozilla/releases/mozilla1.0rc1/src/mozilla-source-1.0.rc1.tar.gz” target=”_blank”>
http://ftp.mozilla.org/pub/mozilla/releases/mozilla1.0rc1/src/mozilla-source-1.0.rc1.tar.gz

Fixed if date is later than May 02, 2002.

Mozilla Browser 1.0 RC1:

Mozilla Upgrade mozilla-source-1.0.rc1.tar.gz

http://ftp.mozilla.org/pub/mozilla/releases/mozilla1.0rc1/src/mozilla-source-1.0.rc1.tar.gz” target=”_blank”>
http://ftp.mozilla.org/pub/mozilla/releases/mozilla1.0rc1/src/mozilla-source-1.0.rc1.tar.gz

Fixed if date is later than May 02, 2002.
Netscape
——–
目前Netscape厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.netscape.com” target=”_blank”>
http://www.netscape.com

来源: NTBUGTRAQ
名称: 20020430 Reading local files in Netscape 6 and Mozilla (GM#001-NS)
链接:http://marc.theaimsgroup.com/?l=ntbugtraq&m=102020343728766&w=2

来源: BUGTRAQ
名称: 20020430 Reading local files in Netscape 6 and Mozilla (GM#001-NS)
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=102017952204097&w=2