返回列表 发帖

[问题求助] 2.2.0.1有没有解决那个高危漏洞??

好像可以窃取用户所有隐私的问题?

刚在mt论坛看到的: http://bbs.maxthon.cn/viewthread.php?tid=85523

不是很懂,MT也没有说得很清楚
是关于JS脚本的漏洞??

TOP

TOP

修补过了
漏洞状态:

2008-06-24通知厂商
2008-06-25修补

http://www.ioage.com/cnnew/uplog.htm
他们修复了一些隐性bug
Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36 TheWorld 6

TOP

TOP

为纪念在地震中死难的同胞,从19日至21日停止一切娱乐活动,不进食,以示悼念

TOP

TW的确没有修补此脚本漏洞。
给一个代码大家可以测试一下:将下列代码保存为网页格式.htm或.html
<img src="javascript:alert('hello');">

TOP

此类漏洞其实早存在了。除了脚本外,类似还有img地址可以是一个php页面等(显示IP地址的“图片”就是一例)。
属于网页设计不规范的缘故吧。
IE的内核浏览器均有此漏洞的。——我用的是最新版本TW 2.2.0.1,上述脚本依然能弹出对话框

[ 本帖最后由 52twb 于 2008-7-2 19:45 编辑 ]

TOP

回复 8# 52twb 的帖子

这种直接用过滤撒,等浏览器补漏洞等到猴年马月,漏洞是补不完的,黄花菜都要凉了
为纪念在地震中死难的同胞,从19日至21日停止一切娱乐活动,不进食,以示悼念

TOP

原帖由 himmel 于 2008-7-2 19:50 发表 http://bbs.ioage.com/cn/images/common/back.gif
这种直接用过滤撒,等浏览器补漏洞等到猴年马月,漏洞是补不完的,黄花菜都要凉了


确切说就是不规范导致的。如果图片格式规定死了,会有这么漏洞。
并且CSS脚本漏洞,也很早就流行了,只不过“做木马的人”关注过。

TOP

新的版本已经修复过了
遇见浏览问题请将tw主程序拷贝到空白目录下运行,排除插件、设置文件的错误。反馈问题时请尽量包含以下内容,以便开发组可以尽快解决问题:TheWorld版本、操作系统、IE版本、问题现象(可截图说明)、问题重现方式(如果可以反复重现)
世界之窗浏览器--打开窗口看世界。
应用技巧和常见问题
风向吧

TOP

原帖由 靖哥哥 于 2008-7-2 20:14 发表 http://bbs.ioage.com/cn/images/common/back.gif
新的版本已经修复过了


是内部版还是2.2.0.1?

TOP

返回列表