Firefox 웹 브라우저에서 두 가지 매우 심각한 보안 취약점이 발견되었습니다. 이 결함은 교차 사이트 스크립팅 공격을 수행하고 사용자 시스템을 손상시키는 데 악용될 수 있습니다.
첫 번째 취약점은 기록 목록에 있는 다른 URL의 컨텍스트에서 실행되는 것을 적절하게 보호하지 못하는 'IFRAME' JavaScript URL과 관련이 있습니다. 이는 임의의 사이트 컨텍스트에서 사용자의 브라우저 세션에서 임의의 HTML 및 스크립트 코드를 실행하는 데 악용될 수 있습니다.
두 번째는 'InstallTrigger.install()'에서 'IconURL' 매개변수로 전달된 입력이 사용되기 전에 제대로 확인되지 않는 경우에 존재합니다. 이는 특별히 제작된 JavaScript URL을 통해 상승된 권한으로 임의의 JavaScript 코드를 실행하는 데 악용될 수 있습니다.
보안 회사인 Secunia에서 극도로 치명적이라고 지정한 취약점은 Firefox 1.0.3에서 확인되었지만 이전 버전에도 존재할 수 있습니다. 취약점은 Javascript를 꺼서 닫을 수 있습니다.
Mozilla Foundation은 취약점으로 인해 공격자가 나타나는 설치를 트리거해야 한다고 지적합니다. 허용된 사이트에서 가져오려면 기본 설정에서 소프트웨어 설치를 비활성화하기만 하면 문제.
이론적 공격자는 프레임과 JavaScript 기록 결함을 사용하여 소프트웨어가 설치가 허용된 몇 안 되는 사이트 중 하나인 addons.update.mozilla.org에서 설치가 트리거되고 있습니다. 기본적으로 소프트웨어.
그러나 Mozilla Foundation은 기본 소프트웨어 설치 화이트리스트의 모든 사이트를 제어하기 때문에 서버 측 Mozilla 업데이트 코드를 더 많이 확인하고 업데이트 사이트를 다른 사이트로 이동하여 예방 조치를 취합니다. 도메인. 소프트웨어 설치 허용 목록에 추가 사이트를 추가하지 않은 사용자는 더 이상 위험에 처하지 않는다고 재단은 말합니다.
Firefox 1.0.4 업데이트가 '곧' 있을 것으로 예상됩니다.
이러한 결함에 대한 자세한 내용은 다음을 참조하십시오. secunia.com/advisories/15292.
