<a href="http://mozilla.org/security/shell.html">What Mozilla users should know about the shell: protocol security issue</a>

http://mozilla.org/security/shell.html

24 小時內修復，除了 mozilla.org 還有誰做的到 ?

get Firefox 0.9.2 , Thunderbird 0.9.2, Mozilla 1.7.1

或者是試用新的Mozilla Update網站，快速修正這個問題：
Mozilla suite:
http://update.mozilla.org/?application=mozilla
Firefox:
http://update.mozilla.org/?application=firefox
附註：只有Windows版需要修正，其它作業系統沒有這個問題。
這個bug的測試頁：
http://www.mccanless.us/mozilla/mozilla_bugs.htm

讚啊!!!!!

對我Mozilla*只剩下一個問題
就是在舊電腦上執行效能不好而已

想問一下, 這個漏洞只存在Mozilla嗎?
How about IE, Opera?

唔.....

我使用的是 Firefox 0.9.0，試過用 update 功能，奇怪的是不成功，只傳回下列訊息窗：

- Firefox Update -------------------------
No Updates Found
---------------------------------------------

Firefox not able to find any available updates.

click [FINISH]
----------------------------------------------

用 TCPview 觀看 TCP port 時看到 outbound 連接到 206.126.111.205:8080 進行 SYN_SENT 但不能 ESTABLISHED，似乎此 update 功能存在些問題

最後要到 mozilla.org 下載 0.9.2 及手動安裝

偶的系統配置
Windows 2000 pro 英文版
Mozilla 0.9.0
沒有設定使用 PROXY
以 Administrator 來 Update
LINKSYS WRT54G router(GATEWAY，Firewall)

------------
不知各方有否類似不能通過 Firewall device 來 update 的問題呢？還是 mozilla 的 update 網太繁忙呢？
如果是 firewall 問題的話，update 功能難道使用特定的 TCP Port 為本機 host 的嗎？
.... 但我仍可以下載套用 theme 呢....

IE穩死，patch全裝也一樣。
Opera 7.5 完全沒問題。

_________________
I use .

Opera最近也出現一個漏洞, 故推出了7.52版.

說明一下，所謂 的 Mozilla shell: 安全問題 其實 是 Microsoft Internet Explorer 的 問題。這 跟 過去 Mozilla 的 vbscript: 安全問題 (於 1.0 前修復) 完全 一樣，如果 你 用 Windows 95 而 不 安裝 MSIE 的話，你 不會 有 這 問題。剛剛 測試 MSIE、Maxthon、Avant Browser 也有這安全漏洞。nakeho，你 有 在 Opera 上 測試 這 問題 嗎？

我 看 媒體 好像 對 這 安全 問題 不太 了解。如果 有人 看到 令人誤解 的 報導，請 幫忙 指出 吧。

我是根據 http://www.mccanless.us/mozilla/mozilla_bugs.htm 測試網頁來測試的。
我使用的是 Opera 7.50 build 3778 win32 英文版來作測試。

無論開啟網頁上的任何一個鍊結，都會顯示「The address type is unknown or unsupported」

_________________
I use .

剛剛使用 Opera 7.52 Build 3834 Win32 測試，結果跟 nakeho 測的一樣，
只會跳出一個錯誤訊息「The address type is unknown or unsupported」
修正過後的 Firefox 測試結果是怎樣的呢？好奇說.....

---------
跳槽到Opera的Firebird使用者 ^_^

修正後的嗎？我的結果是，「link to windows directory」那一行字根本沒有超連結出現，所以也就不能按了^^
Link to windows directory\web\tips.htm 和 Clicking this could crash your system!!! 這兩個也一樣沒有出現超連結，不能按。
「Click to show file」那個連結可以按，按下之後也會出現一個有iframe的網頁，不過那個iframe裡面是空的。

嗯，我也是這樣，抓了張圖下來：
http://air.myweb.hinet.net/mfbug.JPG

ps.
不過我在修正完沒關掉download視窗，重新啟動firefox卻還是看得到那個連結，然後我居然手賤點下去......＠＿＠

系統資源一下子被吃光....>_<

請問，讓它不出現超鏈接才是正常安全的嗎？

The shell: vulnerability is part of a larger problem. Prior to this, Mozilla had been two similar bugs (163648 and 243699). A more comprehensive fix would have to be a protocol whitelist.

This is a system problem and affects other software such as MSN Messenger. In the Full Disclosure mailing list (which firsted revealed the shell: vulnerability in Mozilla), there's also discussion about the outlook: protocol which allows for opening Outlook messages, but possible exploit has yet to be found. Another protocol which could be a concern is the aol: protocol, which opens the American Online client. I haven't found any exploit on this either.

I did some test with Opera, and I can confirm that Opera will not open any URL using an unknown protocol, even if the protocol is registered on the operating system.