关键信息 公告编号: Mozilla Foundation Security Advisory 2013-75 标题: Local Java applets may read contents of local file system 发布日期: August 6, 2013 报告人: Georgi Guninski, John Schoenick 影响程度: High 受影响的产品: Firefox, Firefox ESR, SeaMonkey, Thunderbird, Thunderbird ESR 修复版本: - Firefox 23 - Firefox ESR 17.0.8 - SeaMonkey 2.20 - Thunderbird 17.0.8 - Thunderbird ESR 17.0.8 描述 安全研究员Georgi Guninski报告了一个与Java applets相关的问题,在某些情况下,当使用file:/// URI加载时,applet可以访问本地系统的文件,从而违反文件源策略。这影响到在本地文件系统上运行的applets。 Mozilla开发者John Schoenick后来发现,针对此问题的修复措施在某些情况下仍然存在缺陷,允许不信任的Java applets绕过安全检查并对本地文件系统进行只读访问。与下载文件的方法结合使用时,可能会导致对已知或可猜测路径的访问。 注意 一般来说,这些漏洞不能通过电子邮件在Thunderbird产品中利用,因为脚本已禁用,但在浏览器或类似浏览器的上下文中可能存在风险。 参考文献 [local java applet may read arbitrary files under certain circumstances (CVE-2013-1717)]() [Java applets may read arbitrary files on a user's system]()