近日，天融信公司攻防實驗室再次挖掘出Mozilla Firefox瀏覽器中存在的兩個嚴重的JavaScript Prompt Spoofing安全漏洞，遠程攻擊者可以通過構造欺騙信息獲取用戶敏感數(shù)據(jù)。據(jù)悉，此次天融信公司發(fā)現(xiàn)的安全漏洞影響幾乎所有版本的Firefox瀏覽器，建議用戶密切關注Firefox相關漏洞補丁，杜絕安全隱患。

Mozilla Firefox JavaScript 'Prompted Message'偽造漏洞

Bugraq ID: 37230

CVE ID：CVE-2009-4129

CNCVE ID：CNCVE-20094129

此漏洞在其它域中的WEB頁上派生JavaScript提示消息，實際情況下，地址欄和瀏覽器內(nèi)容是某個域中的內(nèi)容，但提示的 JavaScript消息由其他不同域的腳本生成，結果造成競爭條件的局面：瀏覽器開始對另一個域的URL進行導航，但在裝載之前，馬上生成 JavaScript消息提示，因此JavaScript消息可顯示在原來WEB頁之上，導致目標用戶被提示消息欺騙，造成敏感信息泄漏。

詳細信息：http://www.topsec.com.cn/webnews.php?id=269

Mozilla Firefox 'MakeScriptDialogTitle()' URI偽造漏洞

Bugraq ID: 37232

CVE ID：CVE-2009-4130

CNCVE ID：CNCVE-20094130

Mozilla Firefox "nsGlobalWindow.cpp"源文件包含的"MakeScriptDialogTitle"函數(shù)負責對腳本對話框標題的處理，設計用于顯示"host"， "MakeScriptDialogTitle"函數(shù)會把URL中的用戶名和密碼刪除，目的是為了防止欺騙偽造，但是由于腳本對話框的寬度被限制和可猜測，因此如果域名足夠長，那么只會顯示前綴，攻擊者借此可以進行URI地址偽造攻擊。

詳細信息：http://www.topsec.com.cn/webnews.php?id=270