近日，天融信公司攻防实验室再次挖掘出Mozilla Firefox浏览器中存在的两个严重的JavaScript Prompt Spoofing安全漏洞，远程攻击者可以通过构造欺骗信息获取用户敏感数据。据悉，此次天融信公司发现的安全漏洞影响几乎所有版本的Firefox浏览器，建议用户密切关注Firefox相关漏洞补丁，杜绝安全隐患。

Mozilla Firefox JavaScript 'Prompted Message'伪造漏洞

Bugraq ID: 37230

CVE ID：CVE-2009-4129

CNCVE ID：CNCVE-20094129

此漏洞在其它域中的WEB页上派生JavaScript提示消息，实际情况下，地址栏和浏览器内容是某个域中的内容，但提示的 JavaScript消息由其他不同域的脚本生成，结果造成竞争条件的局面：浏览器开始对另一个域的URL进行导航，但在装载之前，马上生成 JavaScript消息提示，因此JavaScript消息可显示在原来WEB页之上，导致目标用户被提示消息欺骗，造成敏感信息泄漏。

详细信息：http://www.topsec.com.cn/webnews.php?id=269

Mozilla Firefox 'MakeScriptDialogTitle()' URI伪造漏洞

Bugraq ID: 37232

CVE ID：CVE-2009-4130

CNCVE ID：CNCVE-20094130

Mozilla Firefox "nsGlobalWindow.cpp"源文件包含的"MakeScriptDialogTitle"函数负责对脚本对话框标题的处理，设计用于显示"host"， "MakeScriptDialogTitle"函数会把URL中的用户名和密码删除，目的是为了防止欺骗伪造，但是由于脚本对话框的宽度被限制和可猜测，因此如果域名足够长，那么只会显示前缀，攻击者借此可以进行URI地址伪造攻击。

详细信息：http://www.topsec.com.cn/webnews.php?id=270