Mozilla Firefox输入验证漏洞 CVE-2010-1210 CNNVD-201007-306

4.3 AV AC AU C I A
发布: 2010-07-30
修订: 2017-09-19

Mozilla Firefox是一款非常流行的开放源码WEB浏览器。 Mozilla Firefox 3.6.7之前的版本和Thunderbird 3.1.1之前的版本中的intl/uconv/util/nsUnicodeDecodeHelper.cpp存在漏洞。在涉及未定义的位置的某种环境中,向文本中插入一个U+FFFD序列,该漏洞可能更容易被远程攻击者通过制作的8位文本进行跨站脚本(XSS)攻击。一些8位编码包含有未定义的位置,映射到了U+FFFD。在显示的时候,可能不会显示紧随之后的字符。例如,windows-1253中的{\'\'\xD1\'\', \'\'\xD2\'\', \'\'\xD3\'\', \'\'xD4\'\'}序列应为{U+3A1, U+FFFD, U+3A3, U+3A4}(也就是字符串Ρ�ΣΤ),但实际结果为{U+3A1, U+FFFD, U+3A4},缺少了U+3A3字符(也就是Ρ�Τ字符串,缺少Σ)。在某些站点上这可能导致跨站脚本问题,因为服务器上过滤掉了某些应显示的字符。

0%

漏洞利用/PoC

暂无可用Exp或PoC

受影响的平台与产品

当前有191条受影响产品信息