只要三個步驟
1. 在網址打上about :config
2. 在filter box 輸入 network.enableIDN 然後按enter
3. 將 network.enableIDN從true 改成false就可以了

有關security flow 的文章 哪位好心人找一下
這個影響到剛發布的1.5 beta1 跟 1.0.6
不過現在只看到 1.0.6 的fix
不知道1.5beta1 可不可以用 :p

source:http://www.flexbeta.net/main/comments.php?catid=11&shownews=14709


Mozilla Firefox Link Buffer Overflow Allows Arbitrary Code Execution
http://www.mozillazine.org/talkback.html?article=7307

Patch
http://www.mozilla.org/security/idn.html

IDN是什麼?
如果沒套用這個修正的話，會有什麼漏洞?

http://secunia.com/advisories/16764/

Successful exploitation crashes Firefox and may potentially allow code execution but requires that the user is tricked into visiting a malicious web site or open a specially crafted HTML file.

官方釋出的套件1.5Beta1似乎可以用.................
http://ftp.mozilla.org/pub/mozilla.org/ ... 307259.xpi
network.enableIDN的預設值變false

_________________
專職文章搬運工
我的部落格/My Bloghttp://rail02000.blogspot.com/│書籤不見?Fx開不起來?畫面底下有紅字?請按此

首篇發文者的文章，
在「 about:config 」的地方有誤，
輸入「 about :config 」是找不到東西的。
可以參考我的文章來修正看看。 :)

----

[緊急] Mozilla 及 Firefox 所有版本的 IDN 安全漏洞修正法

影響：
所有版本的 Mozilla Suite 及 Mozilla Firefox
（註：下一個穩定版會修正此問題）

修正用的 xpi 檔請從 MozTw.org 的首頁找尋一下 2005/09/11 的公告。
http://moztw.org/

不下載 xpi 的手動修正只要三個步驟即可：
1. 在網址打上 about:config
2. 在 filter box 輸入 network.enableIDN 然後按 enter
3. 將 network.enableIDN 的值用滑鼠左鍵雙擊從 true 改成 false 就可以了

安全問題的測試發布網站 Secunia 的相關報告
http://secunia.com/advisories/16764/
MozTw.org 討論區文章來源：
viewtopic.php?t=10436

雖然我所言太重，但這恐怕是站務瑕疵。

此等為極重要的狀況，但至今兩天，未見事件背景的解釋(我的意思是有必要解釋這個瑕疵究竟有何嚴重?)；管理員隔日即在首頁公告雖極迅速，但應該親自發置頂文於firefox區內，而且將正確的內容整理過後一並寫入。

目的無它，以昭公信而已

抱歉在下可能冒犯此版人員及版主們，但是我仍認為事關重大 - 幸好事情在假日時期甚少中文媒體發布，一旦週一開始披露，相信會造成更多人的疑慮，免不了更多各式(非技術性)問題甚至傳言發生，是該未雨綢繆先做好應變準備才是。

我考慮太久才發此文，希望不是我杞人憂天。

1.手動方式修改完後，最好重新啟動 Fx，檢查 network.enableIDN 的內含值是否已改為 false。
若重建 profile 或使用多組 profiles， 須逐一修正 ，不建議使用此方式手動修改。

2.建議安裝官網的patch，如此 每次啟動 Fx時 ，在 Fx 主程式安裝目錄下的 defaults/pref/bug307259.js 會自動更改 network.enableIDN 為 false。

3.不喜歡 ua 裡的 (No IDN) 也可自行修改bug307259.js

4. ....

***
可是這樣修改方式，不知有心的網頁可不可以也利用這種方式，透過發佈擴充套件夾帶闖關，輕易再改成 true？也許我們會需要一個檢查此類安全漏洞的擴充套件，或者偶而手動檢查 ...

***

_________________
| TiddlyWiki 華語支援論壇 | PrinceTiddlyWiki |

誠如所言, 只是個開關不算是治本的方法, 不過要在一兩天內就做出來不太容易吧, 要出1.0.7嗎

所以目前只能建議user暫時別加入新套件了

這樣不免太 over 了，此漏洞更新尚無其他治本方法之前，"稍加留意" network.enableIDN 的內含值即可。

一如M$ 對 IE 中千夫所指惡名昭彰的 ActiveX 的安全修正，不也是改變預設開關。雖說 Javascripts 有一定的安全水平，還是小心為上。親和力與安全性的考量往往難以兩全，如何拿捏在於個人。

_________________
| TiddlyWiki 華語支援論壇 | PrinceTiddlyWiki |

目前已在首頁正式公告(by piaip) + 討論區公告，為了怕有人看不懂英文，已將原文譯成中文，以後這類安全性更新都會有中文翻譯版。

_________________
吟風齋

嗯! 的確~重要安全性修正的確有必要以中譯版本公告!
不過小弟很久以來就一直很納悶...
[選項設定]的[進階]內不是有個軟體更新嘛??
Mozilla發布這類重要的修正通告，為什麼不透過這個檢查機制呢?
像擴充套件那樣開啟瀏覽器後檢查到有更新版本就自動跑出訊息~
這樣不是很方便、又不會漏掉更新。為什麼不這樣做呢?

這是 1.5 的新功能之一。

_________________
吟風齋

恩恩～
我想問個問題～
是不是停用了 IDN 之後，就無法傳送檔案了？
因為想用 Gmail 傳檔案卻出現"此文件無資料。"、利用 mytempdir 來傳也是出現"此文件無資料。"～
煩請高人指點一番～
謝謝～

_________________
Mozilla Firefox - 給你更快更好更安全的上網瀏覽體驗喔!! 快來 MozTw.Org 下載吧
Google 免費好用的 Gmail 容量超越 6.4G !! (成長中)且 Google-Talk 品質超穩！趕快加入Google幫唷！
另外，我不用 .doc 檔，請支持並推廣使用 OpenOffice.org 這款好東西唷～
我的 Blog ，請至： http://blog.roodo.com/les69/ 及 http://les69.blogspot.com/ 來遊玩吧~ ^_^

IDN 就是用多國文字顯示的網域名稱，例如：[url]http://www.魔斯拉台灣.org[/url] (我亂掰的...orz)和http://www.moztw.org會連到一樣的地方，關掉這個 Firefox 就看不懂中文網址了。和傳送檔案沒關係。

_________________
吟風齋

入秋颱風多，以下是應景的實例：

IDN 就是用多國文字顯示的網域名稱，
例如：[url]http://中央氣象局/[/url] (不必打http://直接在網址列打 中央氣象局 五個字，跟Google無關)
和 http://www.cwb.gov.tw/index-f.htm會連到一樣的地方，
關掉這個 Fx 就看不懂中文網址了。和傳送檔案沒關係。