近日，浙江省网络与信息安全信息通报中心技术支持合作单位北京天融信网络安全技术有限公司报告，该公司攻防实验室再次挖掘出Mozilla Firefox浏览器中存在的两个严重的JavaScript Prompt Spoofing安全漏洞，远程攻击者可以通过构造欺骗信息获取用户敏感数据。据悉，此次天融信公司发现的安全漏洞影响几乎所有版本的Firefox浏览器，建议用户密切关注Firefox相关漏洞补丁，杜绝安全隐患。

　　Mozilla Firefox JavaScript’Prompted Message'伪造漏洞

　　Bugraq ID： 37230

　　CVE ID：CVE-2009-4129

　　CNCVE ID：CNCVE-20094129

　　此漏洞在其它域中的WEB页上派生JavaScript提示消息，实际情况下，地址栏和浏览器内容是某个域中的内容，但提示的 JavaScript消息由其他不同域的脚本生成，结果造成竞争条件的局面：浏览器开始对另一个域的URL进行导航，但在装载之前，马上生成 JavaScript消息提示，因此JavaScript消息可显示在原来WEB页之上，导致目标用户被提示消息欺骗，造成敏感信息泄漏。

　　详细信息：http：//www.topsec.com.cn/webnews.php？id=269

　　Mozilla Firefox 'MakeScriptDialogTitle()' URI伪造漏洞

　　Bugraq ID： 37232

　　CVE ID：CVE-2009-4130

　　CNCVE ID：CNCVE-20094130

　　Mozilla Firefox“nsGlobalWindow.cpp”源文件包含的“MakeScriptDialogTitle”函数负责对脚本对话框标题的处理，设计用于显示“host”，“MakeScriptDialogTitle”函数会把URL中的用户名和密码删除，目的是为了防止欺骗伪造，但是由于脚本对话框的宽度被限制和可猜测，因此如果域名足够长，那么只会显示前缀，攻击者借此可以进行URI地址伪造攻击。

　　详细信息：http：//www.topsec.com.cn/webnews.php？id=270

影响以下系统:
Mozilla Firefox 3.5.5
Mozilla Firefox 3.5.4
Mozilla Firefox 3.5.3
Mozilla Firefox 3.5.2
Mozilla Firefox 3.5.1
Mozilla Firefox 3.5
Mozilla Firefox 3.0.15
Mozilla Firefox 3.0.14
Mozilla Firefox 3.0.13
Mozilla Firefox 3.0.12
Mozilla Firefox 3.0.11
Mozilla Firefox 3.0.10
Mozilla Firefox 3.0.9
Mozilla Firefox 3.0.8
Mozilla Firefox 3.0.7 Beta
Mozilla Firefox 3.0.7
Mozilla Firefox 3.0.6
Mozilla Firefox 3.0.5
Mozilla Firefox 3.0.4
Mozilla Firefox 3.0.3
Mozilla Firefox 3.0.2
Mozilla Firefox 3.0.1
Mozilla Firefox 3.1 Beta 3
Mozilla Firefox 3.1 Beta 2
Mozilla Firefox 3.1 Beta 1
Mozilla Firefox 3.0 Beta 5
Mozilla Firefox 3.0

    关于火狐浏览器:    Mozilla Firefox，中文名为火狐，是由Mozilla基金会与开源团体共同开发的网页浏览器。Firefox是从Mozilla Application Suite派生出来的网页浏览器，从2005年开始，每年都被媒体PC Magazine选为年度最佳浏览器。根据Net Applications的统计，Firefox全世界的浏览器市场份额突破24%，仅次于Internet Explorer。

    漏洞成因:    Mozilla Firefox nsGlobalWindow.cpp源文件包含的MakeScriptDialogTitle函数负责对脚本对话框标题的处理，设计用于显示host， MakeScriptDialogTitle函数会把URL中的用户名和密码删除，目的是为了防止欺骗伪造，但是由于脚本对话框的宽度被限制和可猜测，因此如果域名足够长，那么只会显示前缀，攻击者借此可以进行URI地址伪造攻击。
    目前Mozilla没有发布相关补丁，建议用户在操作敏感数据时，尽量避免使用Firefox浏览器，并及时升级漏洞补丁。

  关于天融信公司攻防实验室:　天融信攻防实验室由业界资深信息安全研究专家组成。天融信攻防实验室始终致力于发掘并响应瞬息万变的各种安全威胁。目前，天融信攻防实验室主要负责各种安全漏洞研究，IPS攻击特征库的建立与研究，跟踪国内外安全事件等，为天融信公司的产品与服务给予了有力的支撑。天融信攻防实验室已先后发现了动网论坛、国内主流邮箱系统、傲游浏览器、Adobe Flash Player、Google Chrome浏览器、Firefox浏览器等大量严重安全威胁。