Firefox是Mozilla所发布的开源WEB浏览器，Firefox中的多个安全漏洞允许恶意用户泄露敏感信息、绕过安全限制、执行欺骗攻击或入侵用户系统。

受影响系统：

Mozilla Firefox 3.x

Mozilla Firefox 2.0.x

Mozilla Thunderbird <= 2.0.0.16

Mozilla SeaMonkey <= 1.1.11

不受影响系统：

Mozilla Firefox 3.0.2

Mozilla Firefox 2.0.0.17

Mozilla Thunderbird 2.0.0.17

Mozilla SeaMonkey 1.1.12

描述：

--------------------------------------------------------------------------------

BUGTRAQ ID: 31346

CVE(CAN) ID: CVE-2008-3837,CVE-2008-4058,CVE-2008-4059,CVE-2008-4060,CVE-2008-4061,CVE-2008-4062,CVE-2008-4063,CVE-2008-4064,CVE-2008-4065,CVE-2008-4066,CVE-2008-4067,CVE-2008-4068,CVE-2008-4069,CVE-2008-3836,CVE-2008-3835,CVE-2008-0016

Firefox是Mozilla所发布的开源WEB浏览器。

Firefox中的多个安全漏洞允许恶意用户泄露敏感信息、绕过安全限制、执行欺骗攻击或入侵用户系统。由于代码共享，Thunderbird和SeaMonkey也受这些漏洞的影响。

(1) 特制的UTF-8超级链接URL可能触发栈溢出，导致执行任意代码。

(2) nsXMLDocument::OnChannelRedirect()实现同源检查时存在错误，导致以不同站点的环境执行任意脚本代码。

(3) feedWriter中的多个错误导致以Chrome权限执行任意脚本代码。

(4) JavaScript的移动和调整大小功能中的错误可以诱骗用户点击非预期的按键，下载恶意文件。

(5) XPCNativeWrappers可能被破坏以Chrome权限执行任意脚本代码。

(6) XSLT和document.loadBindingDocument()在创建文档时的多个错误可能导致以Chrome权限运行任意脚本代码。

(7) 布局和JavaScript引擎中的多个漏洞可能导致内存破坏。

(8) 处理JavaScript代码中所捆绑的BOM字符时存在多个错误，允许绕过脚本过滤器，这有助于跨站脚本攻击。

(9) HTML解析器在处理低代理HTML转义字符时存在错误，允许绕过脚本过滤器，这有助于跨站脚本攻击。

(10) 实现resource:协议时存在多个目录遍历漏洞，导致泄露敏感信息。

(11) XBM解码器中的错误可能导致从未初始化的内存位置读取数据。