比预想严重:FireFox现图像处理漏洞

最新推荐文章于 2024-04-11 15:35:23 发布
转载 最新推荐文章于 2024-04-11 15:35:23 发布 · 59 阅读 · 0

研究人员发现Firefox1.5.0.3存在图像处理漏洞,该漏洞可能导致拒绝服务攻击。此问题源于浏览器处理图像标签的方式,通过恶意利用,可以打开邮件客户端并触发多个窗口,最终使系统停止响应。
比预想严重:FireFox现图像处理漏洞[@more@]
研究人员表示,在Firefox 1.5.0.3中发现的新隐患可能会导致拒绝服务攻击。这个漏洞由于浏览器处理图像标签的方式引起的。SANS Internet Storm Center首先报道了这个问题,经过深入的研究发现这漏洞会被恶意的利用。

人们开始以为这个漏洞不会被利用,因为带有超链接的“图片”被打开时会调用Media Player来播放后缀为“.wav”格式的文件。然而,现在研究人员表示,这个漏洞联合java script就能够打开邮件客户端并通过“mailto:”命令打开多个窗口。
研究人员表示,这样的话,最终系统就会停止响应。据某个Web Log表示,这是一个概念验证代码,更坏的是img xsrc=的标签可以被用来打开几乎任何东西。
myITforum.com的Chris Mosby提供了几个避免这个漏洞被利用的建议。其中一个可行的方法是,关闭Firefox中的邮件自动启动。他还补充道,用户应该禁用java script或同时屏蔽“mailto:”。
目前Mozilla还没有就这件事做出评论。

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/10901326/viewspace-965805/,如需转载,请注明出处,否则将追究法律责任。

转载于:http://blog.itpub.net/10901326/viewspace-965805/

cuanku6549
关注
[网络安全自学篇] 八十.WHUCTF之WEB类解题思路WP(代码审计、文件包含、过滤绕过、SQL注入)
杨秀璋的专栏
05-29 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了Windows PE病毒, 包括PE病毒原理、分类及感染方式详解,并通过案例进行介绍。这篇文章将介绍WHUCTF部分题目,第一次参加CTF,还是能学到很多东西。下面分享四个我完成的WEB类型题目的解题过程,希望对您有所帮助。本来感觉能做出6道题目,但有两道题卡在某个点,后面几天忙于其他事情,就没再参加。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢网安学院,感谢这些大佬
火狐(firefox)不显示本地图片问题解决 javascript ff
【设计改变世界】github地址:https://github.com/guochunyang2004
07-05 1851
Firefox一直不能用js做出图片预览的效果,这个问题困扰了我1年多了,一个同事再次问我,终于找到灵感把它解决了function fileChange(obj){var url = obj.valueurl = "file:///" + url.replace("//",/);alert(url);document.getElementById("i
五款开源图形处理软件
FreeonLine的专栏
06-07 1万+
      开放源码社区一直因为缺少以用户为中心的应用软件而饱受诟病。从一个每天都使用开源桌面和服务环境的用户角度来看,我也支持很多开源应用不如商业解决方案华丽的抱怨,但讽刺的是,同时也存在一些优秀的开源图形应用软件。无论你需要创建一个简单的横幅广告还是像书本封面这样非常复杂的作品,一系列让人印象深刻的开源设计解决方案足以和昂贵的同类商业软件匹敌。  我们这里就将介绍五种开源 的图
文件上传漏洞
m0_55772907的博客
04-28 3464
什么是文件上传漏洞 文件上传漏洞是指由于程序员在对用户文件上传部分的控制不足或者处理缺陷,而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。 什么是webshell WebShell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称之为一种网页后门。攻击者
模糊测试--强制性安全漏洞发掘
软件性能测试专栏
01-20 2万+
文档分享地址链接:http://pan.baidu.com/share/link?shareid=2723797392&uk=2485812037 密码:r43x 前 言 我知道"人类和鱼类能够和平共处" 。 --George W. Bush, 2000年9月29日 简介 模糊测试的概念至少已经流传了20年,但是直到最近才引起广泛的关注。安全漏洞困扰了许多流行的客户端应用程序
文件上传漏洞 (上传知识点、题型总结大全-upload靶场全解)
热门推荐
qq_43390703的博客
03-14 5万+
本文总结了几乎所有的文件上传漏洞、题型。结合知识点详解分析,剖析文件上传漏洞的要点,附带题库练习,CTF真题讲解,达到一文读完,文件上传漏洞完全掌握的效果~欢迎一同学习进步
Web安全漏洞原理(5万字最全总结)
qq_59468567的博客
04-11 4213
XSS过滤器输入过滤,’,”,&,\,(,),/,eval, javascript,document等关键字注意二次DOM操作引发XSS用户输入进行数据合法性验证Flash设置同源策略、禁止用户上传FlashCookie增加http-only标记。
苹果“虎”与微软“牛”相抗衡 到底谁更胜一筹
sunlen的专栏(编程技术探讨)
07-21 3129
苹果“虎”与微软“牛”相抗衡 到底谁更胜一筹(2005.07.18)    <!-- csdn_AD_Position_GroupID = "{e025b96b-2fda-4e82-84ef-3e0772838ed3}"; csdn_AD_Page_Url = document.location; csdn_AD_CurrPage_CharSet = "gb2312";
【C4D实用脚本】清除删除了面的选择tag和材质tag及材质
01-07
清除没有存储面的选择tag和材质tag及材质(c4d2024)
C#曲线编辑器、时间轴曲线编辑
01-07
源码地址: https://pan.quark.cn/s/3916362e5d0a 在C#编程平台下,构建一个曲线编辑器是一项融合了图形用户界面(GUI)构建、数据管理及数学运算的应用开发任务。 接下来将系统性地介绍这个曲线编辑器开发过程中的核心知识点:1. **定制曲线面板展示数据曲线**: - 控件选用:在C#的Windows Forms或WPF框架中,有多种控件可用于曲线呈,例如PictureBox或用户自定义的UserControl。 通过处理重绘事件,借助Graphics对象执行绘图动作,如运用DrawCurve方法。 - 数据图形化:通过线性或贝塞尔曲线连接数据点,以呈数据演变态势。 这要求掌握直线与曲线的数学描述,例如两点间的直线公式、三次贝塞尔曲线等。 - 坐标系统与缩放比例:构建X轴和Y轴,设定坐标标记,并开发缩放功能,使用户可察看不同区间内的数据。 2. **在时间轴上配置多个关键帧数据**: - 时间轴构建:开发一个时间轴组件,显示时间单位刻度,并允许用户在特定时间点设置关键帧。 时间可表为连续形式或离散形式,关键帧对应于时间轴上的标识。 - 关键帧维护:利用数据结构(例如List或Dictionary)保存关键帧,涵盖时间戳和关联值。 需考虑关键帧的添加、移除及调整位置功能。 3. **调整关键帧数据,通过插值方法获得曲线**: - 插值方法:依据关键帧信息,选用插值方法(如线性插值、样条插值,特别是Catmull-Rom样条)生成平滑曲线。 这涉及数学运算,确保曲线在关键帧之间无缝衔接。 - 即时反馈:在编辑关键帧时,即时刷新曲线显示,优化用户体验。 4. **曲线数据的输出**: - 文件类型:挑选适宜的文件格式存储数据,例如XML、JSON或...
(73页PPT)华为制作秘籍.pptx
01-07
(73页PPT)华为制作秘籍.pptx
ARKitYOLO实时物体检测.zip
01-07
ARKitYOLO实时物体检测.zip
基于YOLO的昆虫检测训练项目.zip
01-07
基于YOLO的昆虫检测训练项目.zip
Java类加载控制-下载即用.zip
01-07
源码地址: https://pan.quark.cn/s/a4b39357ea24 Warning: Folder contents may be replaced The contents of this folder will be automatically replaced with a file of the same name in the vscode-dev-containers repository's script-library folder whenever the repository is packaged. To retain your edits, move the file to a different location. You may also delete the files if they are not needed.
车辆动力学GUI-matlab开发,计算自行车模型的偏航矩图和相像
01-07
已经博主授权,源码转载自 https://pan.quark.cn/s/038f4636b22b 解压缩并执行V_GUI.m文件用以启动GUI,其中偏航矩图(YMD)与相像是常见的图表,它们主要用于展车辆的操控性能。 YMD在赛车运动领域中备受青睐,而“相像”这一概念则常被应用于针对控制目标的非线性系统。 然而,尽管这两种图表在计算需求上存在共通之处,但鲜有研究尝试将它们之间建立起关联。 车辆动力学GUI依据自行车模型来计算并生成这两种图表。 在计算过程中所采用的轮胎模型为MF5.2,而实际装配的轮胎则是安装在7英寸轮辋上的Hossier 18.0 x 7.5 10 R25B,这一规格的轮胎被众多方程式学生车队普遍采用。 轮胎的装配工作是通过OptimumTire软件来完成的。 自行车模型中的默认参数实际上源自FStudent车辆。 输入变量涵盖了前轮角(Delta)、侧滑角(Beta)、偏航率、纵向速度(Vx)、后轮胎滑移率(Kappa)以及扭矩矢量率(TV)。 需要指出的是,扭矩矢量率(TV)具体是指左后轮胎与右轮胎之间的指令滑移率差异。 而输出值则包括前后滑动角(Alpha F和R)以及横向力(FY前后)
基于YOLO的目标中心定位.zip
01-07
基于YOLO的目标中心定位.zip
cesium收费站3D模型,高速立交3dtiles瓦片数据
最新发布
01-07
收费站3D模型,高速立交3dtiles瓦片数据 ,可以直接在cesium引擎里加载,包含收费站园区建筑、收费岛、高速路、围栏、树木、路杠摄像头等3D模型数据,分b3dm、i3dm瓦片
带式输送机滚筒温度检测装置
01-07
已经博主授权,源码转载自 https://pan.quark.cn/s/bcec693b7986 针对传统带式输送机滚筒温度检测方法存在布线较为困难、测量误差偏大等问题,研发了一种基于射频通信的带式输送机滚筒温度检测装置。 该装置的检测终端选用集成了温度检测与射频发射功能的轮胎压力传感器芯片SP370,周期性地采集温度信息并通过射频通信途径发送至由射频接收芯片、单片机和CAN收发器构成的接收终端,接收终端再将获取的温度数据传输到CAN总线上。 实验验证显示,该装置的测量误差为±3.73℃,单个纽扣电池能够为检测终端提供连续供电服务超过1.5年,完全符合场实际应用的要求。 【带式输送机滚筒温度检测装置设计
VC6.0实基本数字图像处理教程:二值化与底片化
数字图像处理是计算机科学的一个重要分支,它涉及使用计算机算法来创建、处理、通信和显示数字图像。本教程将介绍在VC6.0环境下实数字图像处理的基本操作,其中重点讲解的是二值化和底片化两种图像处理技术。VC6.0...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值