CVE-2015-0816 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Mozilla 产品未正确限制 `resource:` URL。 🔥 **后果**：攻击者可**绕过同源策略 (SOP)**，实现跨域非法访问。

🛡️ **CWE**：数据缺失 (null)。 🔍 **缺陷点**：**权限许可和访问控制**逻辑失效，对特定 URL 协议缺乏严格校验。

📦 **受影响组件**： - **Firefox** (开源浏览器) - **Firefox ESR** (延长支持版) - **Thunderbird** (邮件客户端) 🏢 **厂商**：Mozilla 基金会。

💰 **黑客能力**： - **权限**：以用户身份执行受限操作。 - **数据**：窃取跨域敏感数据，破坏浏览器隔离安全边界。

🚪 **利用门槛**： - **认证**：无需认证，**远程攻击**。 - **配置**：依赖用户访问恶意页面或特定 URL 构造。

💣 **现成 Exp**： - **有 PoC**：GitHub 上有 `Firefox-35-37-Exploit`。 - **组合利用**：结合 CVE-2015-0802 使用。

🔍 **自查方法**： - **扫描**：检测 Firefox/Thunderbird 版本是否在受影响区间。 - **特征**：检查是否未升级至修复版本，关注 `resource:` URL 处理逻辑。

🩹 **官方修复**： - **已发布**：2015-04-01 公布。 - **补丁**：各大发行版 (RedHat, Debian, Ubuntu) 均已发布安全更新 (RHSA, DSA, USN)。

🛑 **临时规避**： - **升级**：立即更新至最新稳定版。 - **隔离**：避免访问不可信网页，限制浏览器权限。

⚡ **优先级**：🔴 **高**。 - **理由**：绕过核心安全机制 (SOP)，已有公开 Exploit，影响主流浏览器用户。