Mozilla Firefox 1.0/1.5 XBL - MOZ-BINDING Property Cross-Domain Scripting

admin

0
文章

0
评论

2023-12-15 03:31:54 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

Mozilla Firefox 1.0/1.5 XBL - MOZ-BINDING Property Cross-Domain Scripting

CVE编号

CVE-2006-0496

利用情况

暂无

补丁情况

N/A

披露时间

2006-02-01

漏洞描述

Cross-site scripting (XSS) vulnerability in Mozilla 1.7.12 and possibly earlier, Mozilla Firefox 1.0.7 and possibly earlier, and Netscape 8.1 and possibly earlier, allows remote attackers to inject arbitrary web script or HTML via the -moz-binding (Cascading Style Sheets) CSS property, which does not require that the style sheet have the same origin as the web page, as demonstrated by the compromise of a large number of LiveJournal accounts.

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
http://community.livejournal.com/lj_dev/708069.html
http://marc.info/?l=full-disclosure&m=113847912709062&w=2
http://securitytracker.com/id?1015553
http://securitytracker.com/id?1015563
http://www.davidpashley.com/cgi/pyblosxom.cgi/computing/livejournal-mozilla-bug.html
http://www.osvdb.org/22924
http://www.securityfocus.com/bid/16427
http://www.vupen.com/english/advisories/2006/0403
https://bugzilla.mozilla.org/show_bug.cgi?id=324253
https://exchange.xforce.ibmcloud.com/vulnerabilities/24427

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	mozilla	firefox	1.0	-
	运行在以下环境
	应用	mozilla	firefox	1.0.1	-
	运行在以下环境
	应用	mozilla	firefox	1.0.2	-
	运行在以下环境
	应用	mozilla	firefox	1.0.3	-
	运行在以下环境
	应用	mozilla	firefox	1.0.4	-
	运行在以下环境
	应用	mozilla	firefox	1.0.5	-
	运行在以下环境
	应用	mozilla	firefox	1.0.6	-
	运行在以下环境
	应用	mozilla	firefox	1.0.7	-
	运行在以下环境
	应用	mozilla	mozilla	1.7	-
	运行在以下环境
	应用	mozilla	mozilla	1.7.1	-
	运行在以下环境
	应用	mozilla	mozilla	1.7.10	-
	运行在以下环境
	应用	mozilla	mozilla	1.7.11	-
	运行在以下环境
	应用	mozilla	mozilla	1.7.12	-
	运行在以下环境
	应用	mozilla	mozilla	1.7.2	-
	运行在以下环境
	应用	mozilla	mozilla	1.7.3	-
	运行在以下环境
	应用	mozilla	mozilla	1.7.5	-
	运行在以下环境
	应用	mozilla	mozilla	1.7.6	-
	运行在以下环境
	应用	mozilla	mozilla	1.7.7	-
	运行在以下环境
	应用	mozilla	mozilla	1.7.8	-