BUGTRAQ ID: 32363
Thunderbird和SeaMonkey是Mozilla所发布的邮件和新闻组客户端。
Thunderbird和SeaMonkey允许JavaScript访问.documentURI和.textContent DOM属性,这可能导致泄露邮件消息中的敏感信息。
如果收件人在邮件中允许JavaScript的话,则将恶意邮件转发给该收件人的时候,邮件消息中的脚本就可以访问转发者所添加的评注;如果该邮件消息还允许加载远程内容的话,就可能将所访问到的信息泄露给原始作者。
Mozilla Thunderbird < 2.0.0.18
Mozilla SeaMonkey < 1.1.13
Mozilla
-------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
<a href=http://www.seamonkey-project.org/releases/ target=_blank>http://www.seamonkey-project.org/releases/</a>
<a href=http://www.mozilla.com/en-US/thunderbird/all.html target=_blank>http://www.mozilla.com/en-US/thunderbird/all.html</a>
京公网安备 11010502034610号
暂无评论