N/A

dom/base/nsJSEnvironment.cpp in Mozilla Firefox 3.5.x before 3.5.11 and 3.6.x before 3.6.7, Thunderbird 3.0.x before 3.0.6 and 3.1.x before 3.1.1, and SeaMonkey before 2.0.6 does not properly suppress a script's URL in certain circumstances involving a redirect and an error message, which allows remote attackers to obtain sensitive information about script parameters via a crafted HTML document, related to the window.onerror handler.

N/A

N/A

Mozilla Firefox出错消息脚本文件名信息泄露漏洞

Mozilla Firefox是美国Mozilla基金会开发的一款开源Web浏览器。 Firefox中的脚本出错处理方式会显示错误的来源，其中可能包含有敏感信息。假设 http://SampleSite.com/admin.asp 页面使用了以下逻辑： 1、如果用户没有登录，重新定向到登录页面。 2、如果用户不是管理员，重新定向到拒绝访问页面。 3、如果用户为管理员，显示管理员菜单。 攻击者可以使用跨站URL劫持技术确认用户在SampleSite.com所处的状态，并继续执行有针对性的攻击。

N/A

N/A