Firefox 16.0.2,Thunderbird 16.0.2发布
- 类别: 电子邮件
Mozilla当前正在为Firefox的稳定版本推出更新,该更新将Web浏览器绑定到版本16.0.2。这实际上是此发行期内的第二个更新,第一个更新是在不久之后发布的 Firefox 16.0被拉 由Mozilla发行,因为该版本中存在安全问题。
Firefox 16.0.2修复了Firefox位置对象中的关键安全漏洞。受影响的是Firefox稳定版,Firefox扩展支持版本,Thunderbird稳定版和ESR,以及SeaMonkey。 Mozilla指出,桌面电子邮件客户端Thunderbird仅受RSS问题或加载Web内容的扩展的位置问题的影响。但是,仍然建议升级电子邮件客户端以解决当前的问题。
以下是清单 已解决的问题 在新版本中:
- 安全研究员 马里乌斯·姆林斯基(Mariusz Mlynski) 报道的真实价值
window.location
可能会因使用的价值
方法,可以与一些插件结合使用,对用户执行跨站点脚本(XSS)攻击。 - Mozilla安全研究员 moz_bug_r_a4 发现
CheckURL
发挥作用window.location
可能被迫返回错误的调用文档和委托人,从而导致跨站点脚本(XSS)攻击。如果攻击者可以利用与页面内容进行交互的加载项,还可以获得任意代码执行的可能性。 - 安全研究员 安托万·德利尼亚特-拉瓦德 巴黎INRIA的PROSECCO研究小组的一位研究人员报告说,能够通过原型使用属性注入来绕过服务器上的安全包装保护。
位置
对象,允许跨域读取位置
目的。
Firefox 16.0.2已通过自动更新提供。如果您的浏览器尚未选择新版本,请执行以下操作以手动检查更新:
- 点击Firefox按钮
- 从打开的菜单中选择“帮助”>“关于Firefox”
浏览器会手动检查更新,然后再下载并安装。要在Thunderbird中手动检查更新,请在打开电子邮件程序时选择“帮助”>“关于Thunderbird”。
您也可以从以下位置下载最新版本的Firefox或Thunderbird Mozilla 。