是Mozilla Firefox 2.0.0.8重大更新-自己的F irefox窗口

更新Firefox是真正成为一个趋势。 仅仅一个月后， 最近的更新 ，有新的证券问题， Mozilla的Firefox浏览器。 挤压浏览器漏洞是一个繁琐的家务Mozilla的开发。 因此，荣誉的快速反应。

最新更新修复各种证券洞，修补流行的记忆腐败的漏洞。 还与这个新版本Mozilla的Firefox已经放弃所有支持Mozilla的Firefox 1.5.0.x版本 。 因此，任何用户与旧版本是鼓励更新他们的浏览器。

已知弱点的金融事务局名单

• 金融事务局2007-36 URIs无效％的编码处理不当由Windows
• 金融事务局2007-35 XPCNativeWrapper污染使用脚本对象
• 金融事务局2007-34窃取档案可能通过SFTP发布协议
• 金融事务局2007-33 XUL网页可以隐藏窗口titlebar
• 金融事务局2007-32重点档案输入盗窃漏洞
• 金融事务局2007年浏览器摘要式身份验证的请求分裂
• 金融事务局2007-30 onUnload跟车太贴
• 金融事务局2007-29崩溃的证据的内存腐败（病毒： 1.8.1.8 ）

滥用的URI协议

上个月比利里奥斯，奈特McFeter和Raghav “教皇”杜贝发现了利用远程命令执行与Firefox中的URI协议处理程序

摘自比利罗斯的

再次，这些网址的有效载荷可通过电子邮件，的NNTP ，新闻和snews URIs ，使我们能够通过有效载荷无需任何用户交互。 因此，看来虽然条件允许远程命令执行的Firefox 2.0.0.5已经解决，安全修补程序，基本的文件类型处理问题，这是真正的核心问题没有得到解决。

你可以阅读更多关于这个问题在比利罗斯的博客-F irefox的文件处理悲哀。

什么是地狱XPCNativeWraper污染？

Bugzilla标题可该死的困惑。 金融事务局2007-35 -“ X PCNativeWrapper污染使用脚本对象” -它同以往的脆弱性更新的F i refox2. 0.0.5。 非同步传输模式Mozilla已关闭 （我删除了链接404 ）的所有信息，关于这个问题（原来所有的过去提及返回404 ： （ ） 。所以我不得不Digg的进一步下跌的ISS X - Force和CVE以获得更多关于此信息利用。

Mozilla Firefox中可能允许远程攻击者执行任意代码在系统上，所造成的未指定的错误有关处理XPCNativeWrapper 。 攻击者可以利用这个漏洞执行任意代码，受影响的系统或引起拒绝服务，如果攻击者可以说服受害者访问恶意网页或打开恶意的HTML电子邮件。

我想这是最重要的问题的新版本。 由于每个搜索出Mozilla的404和私营部门。 我希望有人能解释这进一步。

县设置以防止恶意的URI漏洞

我发现这片段代码从一个普通的评论在比利罗斯的Blog 。 您可能需要对Mozilla基金会负责人的选择指南 ，然后再应用如下窍门。

Firefox的偏好设定（ pref.js ）

此设置将抛出一个Firefox确认框，然后才开启外部第三方应用程序（即雷鸟，前景） 。 这样就可以防止任何程序正在发起未经允许。 例如：电子邮件地址的链接（即： billgates@microsoft.com ） 。

  user_pref （ “ network.protocol - handler.warn - external.mailto ” ，真实） ; 
  user_pref （ “ network.protocol - handler.warn - external.news ” ，真实） ; 
  user_pref （ “ network.protocol - handler.warn - external.nntp ” ，真实） ; 
  user_pref （ “ network.protocol - handler.warn - external.snews ” ，真实） ; 

西蒙说，这是有罪

这看起来像是Mozilla的Firefox一样有罪，如微软的为危险的数据传递到第三方应用。 火狐应该有自己的注册网址处理及数据交换而不是依赖微软的。

同样的苹果（ QuickTime的自己的浏览器 ） 。

相关链接

• 下载Firefox 2.0.0.8
• 远程命令Exec的（火狐2.0.0.5等）
• 逃逸URIs时通过他们向外部协议处理