Bugraq ID: 37230
CVE ID：CVE-2009-4129
CNCVE ID：CNCVE-20094129

发布时间：2009-12-05

危害等级：严重

来源：天融信公司

影响系统
Mozilla Firefox 3.5.5
Mozilla Firefox 3.5.4
Mozilla Firefox 3.5.3
Mozilla Firefox 3.5.2
Mozilla Firefox 3.5.1
Mozilla Firefox 3.5
Mozilla Firefox 3.0.15
Mozilla Firefox 3.0.14
Mozilla Firefox 3.0.13
Mozilla Firefox 3.0.12
Mozilla Firefox 3.0.11
Mozilla Firefox 3.0.10
Mozilla Firefox 3.0.9
Mozilla Firefox 3.0.8
Mozilla Firefox 3.0.7 Beta
Mozilla Firefox 3.0.7
Mozilla Firefox 3.0.6
Mozilla Firefox 3.0.5
Mozilla Firefox 3.0.4
Mozilla Firefox 3.0.3
Mozilla Firefox 3.0.2
Mozilla Firefox 3.0.1
Mozilla Firefox 3.1 Beta 3
Mozilla Firefox 3.1 Beta 2
Mozilla Firefox 3.1 Beta 1
Mozilla Firefox 3.0 Beta 5
Mozilla Firefox 3.0

关于Mozilla Firefox浏览器

Mozilla Firefox，中文名为火狐，是由Mozilla基金会与开源团体共同开发的网页浏览器。Firefox是从Mozilla Application Suite派生出来的网页浏览器，从2005年开始，每年都被媒体PC Magazine选为年度最佳浏览器。根据Net Applications的统计，Firefox全世界的浏览器市场份额突破24%，仅次于微软的Internet Explorer。

漏洞成因

Mozilla Firefox JavaScript `Prompted Message`伪造漏洞，是关于在其他域中的WEB页上派生JavaScript提示消息。实际情况下，地址栏和浏览器内容是某个域中的内容，但是提示的 JavaScript消息由其他不同域的脚本生成，结果造成竞争条件的局面：浏览器开始对另一个域的URL进行导航，但在装载之前，马上生成 JavaScript消息提示，因此JavaScript消息可显示在原来WEB页之上，导致目标用户被提示消息欺骗，造成敏感信息泄漏。

目前Mozilla没有发布相关补丁，建议用户在操作敏感数据时，尽量避免使用Firefox浏览器，并及时升级漏洞补丁。