据报道，在Firefox浏览器的层叠样式表（CSS）中的漏洞使得研发人员很容易从浏览器层叠样式表中获得用户已访问过的列表清 单。尽管Mozilla早就了解这个错误的存在，但一直没有找到在不牺牲浏览器关键功能的前提下解决该问题的方法。
Mozilla网页安全专家希德·斯塔姆（Sid Stamm）声称：“很明显，这个漏洞的修补方法可以通过禁用浏览器中访问链接和未访问链接的不同样式即可。但这样就牺牲了Firefox浏览器的一项系统功能：关闭该不同样式后，Firefox浏览器不能为用户指出哪一个链接曾经访问过，哪一个链接是最新访问的网址。”

这个漏洞同样存在于其他网页浏览器中。斯塔姆指出：“为用户指出已访问链接是网页浏览器的一项重要功能，所以这个问题尽管存在很久了，但一直没有找到在不关闭可为用户指出历史链接功能的前提下，解决这一问题的方法。”

Sophos公司的安全顾问格拉汉姆·克鲁利（Graham Cluley）声称，尽管这一问题是个历史性的问题，但这个问题确实给用户隐私安全带来困扰。克鲁利说：“用户在使用网页浏览时，最关注的是个人浏览网页的隐私。如果其他人可以通过网页浏览器查看用户曾经访问过什么网页，他人可以通过用户曾访问过的网页内容来了解用户内心世界。”

Mozilla基金会准备用三种方法修补Firefox浏览器中的这一问题：1.通过改变已访问链接的风格，使得已访问链接很难被其他人筛选出来。2.尽量缩小已访问链接和未访问链接之间的展示时间差异。3.关闭使用Java脚本函数调用浏览器历史数据的功能。

但到目前为止，Mozilla基金会仍未给出解决这一问题补丁包的具体时间。

www.lyg58.com/com/com_xx.asp?cnmai=215
jsj.tjpu.edu.cn/jingsai/morenews.aspx
safety.nankai.edu.cn（南开大学城市公共安全研究中心）
russian.sisu.edu.cn（四川外语学院俄语系）
jsjx.cuit.edu.cn（成都信息工程学院计算机学院）
images.google.com/imgres?imgurl=http://zjcx.gov.cn/Newspic/gyx_03.jpg&imgrefurl=cs.xidian.edu.cn/ds/bsdslist.asp（西安电子科技大学计算机学院）
cide2009.tsu.edu.cn/（第6届智能CAD与数字娱乐（CIDE2009）学术会议网站）www.ccfcc.net（中国连锁经营实战网-连锁经营管理咨询培训,连锁专卖,特许经营）
www.tangche.com（唐山轨道客车有限责任公司）
www.dsrzc.com.cn
（数据来自瑞星）

www.zgdjx.com/mb1/51.la/2825202.js
tuanwei.shspu.edu.cn
zz46z.zzedu.net.cn/html/jnjd
（数据来自金山）

jszjzsw.com
www.auxtelecom.com
（数据来自知道安全）

www.mbajob.com.cn/news.asp?id=9
www.jhggxx.com/corporation/index.asp?id=30（ 金华数字网）
www.sfqn.com/showdiary.asp?id=15 （四方青年）
www.hygqt.com/Display.aspx?id=334（黄岩共青团）
www.cipc.com.cn/cn/home/index.asp
www.chinapipe.cc（中国管业网）
（数据来自精睿）

www.penavicogz.com.cn
agri.jieyang.gd.cn
www.ramical.com
(数据来自死性不改的博客）

钓鱼
www.dnfqj.com
www.dnf3g.com
am-qq.com
qtxw48.cn
www.am-qq.com
www.qtxw48.cn
www.ffohs.com
ffohs.com
www.qq10000w.com
qq10000w.com
www.qq10000a.com
qq10000a.com
qqtwwt.cn
www.qqtwwt.cn
qu1q.cn
www.qu1q.cn
www.ssq001.com
ssq001.com
www.flczlw.cn
flczlw.cn
www.zhcw178.cn
zhcw178.cn
www.cp3118.com
cp3118.com
www.899099.com
899099.com
www.cp1155.cn
cp1155.cn
www.856333.cn
856333.cn
www.10233.cn
10233.cn

病毒
dl.9sv.cn/wz/MySpeed_Onlineinstaller_wz.exe
www.cccap.org.cn/ccc/czu.exe
（以上数据来自http://safelab.spaces.live.com）

非法网站
dd3xx.net
boyybo.com
www.dd3xx.net
www.boyybo.com
 

www.010zgcp.com

010zgcp.com

vip.sssae.us/qq.com

XSS

vip.sssae.us/qq.com

挂马
www.szcsxk.com
www.u-park.cn/docc/mdhd.asp
www.tisong.cn
www.winnm.com/d2/xie.htm
www.vazar.co.il
www.ws91.cn/down.html
www.ycxtzx.com/images/tv.jpg
www.sdgfrq.cn/mkmk/vc14.htm
www.ysjjjc.cn(永胜纪检监察网)
www.yyzscx.com(湖南岳阳中山财校)
www.shkpkf.org.cn（新鴻基地產郭氏基金）
www.xxrsrc.cn（新乡人事人才网）
www.tsbeef.com（唐山德盛清真肉类有限公司）
www.tongzidao.com（北京童子岛儿童玩具城）
202.109.191.2/jwc(江西旅游商贸职业学院 教务网)
www.yz581.com/index.asp(渝州老窖)
www.tzqpc.com（台州汽配城）
www.wedm.cn（线切割学校论坛）
www.fshouse.com（抚顺房产网）
www.xzyj.com（中国幼教网）
www.yataiedu.cn（亞太服裝學院）
www.yayibz.cn（深圳市雅艺包装）
xaxlx.com（陕西心连心动物药业有限公司）
www.yydszx.com(余姚市第四中学)
www.yxzj120.com.cn(医学专家网)
www.yxu168.com(上海阳旭环境检测有限公司)
www.ytzr.com(烟台正荣生物科技有限公司)
www.yfship.cn（上海寅飞船舶设备有限公司）
www.yuanfang.com.cn(远方电脑有限公司)
www.xytbysj.com（尐吖頭毕业设计网）
4412sf.cn（死神网络）
（数据来自剑盟）

ivanushko.dp.ua/img/mp4/images/prusrusodegdassa/odessa-opt-odezhda.html
ms.zjol.com.cn/yiren/yrdefault.aspx
cctv8.net/search.asp?keyword=serebryakov,fyodor&stype=star
qqbook.cn/resource/resourceinfo.aspx?rid=1209
lxnews.zjol.com.cn/templates/xhtml/skins/xhtml/bmxx/syzx/indexkygj.htm
www.qqming8.com/qqming/haoming
www.hdyyxx.bjedu.cn/readnews.asp?newsid=2540&bigclassname=%d0%c2%bf%ce%b3%cc%c6%b5%b5%c0&smallclassname=%d0%c2%bf%ce%b3%cc%b0%b8%c0%fd%bc%af%bd%f5&specialid=42
www.dh.jl.gov.cn/news/onews.asp?id=1430
www.econ.fudan.edu.cn/teacher.asp?type=2
(数据来自金山）

whdsmc.com/m.js
fy.cdta.gov.cn/index.html
icst08.jiangnan.edu.cn/english/index.asp
ibs.nankai.edu.cn/lib/web/newbook/detail.asp?id=4
job.xaufe.edu.cn/EmpWeb/Default.aspx
www.luojia.net/zuowen/2008/0919/article_200385.html
www.xzbsq.gov.cn/UpFile/GuestFile/2001.jpg
www.cdta.gov.cn/syssource/mainpage/cdta_sp1/default.asp?pageid=356&moduleid=195&id=9601&frompageid=0
www.ywsz.cn/teachers/teachers_info/jsfc.asp?id=166
www.yy.fj.cn/news/view_news.asp?newsid=13659
www.yatsl.cn/productshow.asp?articleid=160
www.yauhosp.com/zuzhi.aspx?dpageid=98
www.ywsz.cn/teachers/teachers_info/jsfc.asp?id=166
www.wowui.com.cn/html/chajiangongju/jiemian/index.html
www.xxssj.com/shownews.asp?newsid=1705
www.shanghu.gov.cn/system/uploadfile/200809/muma.html
hk.21cnhr.com/zhinan_ywsl.asp
www.syhnex.com/news_n.aspx?id=77
www.xawsj.gov.cn/wssearch/yljgsearch.asp
91mymy.com/ywbd/manage/hf_show.asp?id=480
www.sdaj.gov.cn/web/sysfiles/info/model1.asp?infoid=2284
www.yuloo.com/lsks/juan2/zhenti
shouyu.edu.shangdu.com(商都网手语—手语学习—学习标准中国手语)
www.suyoupeng.com（苏有朋官方网站）
cz.zufe.edu.cn(浙江财经学院)
www.chinabaobeidan.com（青岛宝贝蛋）
sem.bupt.edu.cn(北京邮电大学经济管理学院)
yawen.com.cn/news/news_detail.asp?id=167（亚佳礼品网）
erp001.com/detail.asp?id=2519（ERP信息网）
www.sgns.gov.cn（四姑娘山景区）
www.qhljj.gov.cn/product.asp?tp=67（青海省劳动教养工作管理局）
jsjx.gdsspt.net（松山学院计算机系）
pro.swupl.edu.cn(教授主页)
（数据来自瑞星）

非法网站：

1100xx.com

漏洞简报

软件：IE , Outlook

类型：多种类型

利用指数：2【零星存在】

挂马页面： http://premiumnonfat.cn:8080/filez/java.html【此页面含有恶意代码，慎入】

威胁：低【漏洞难以触发】

解决方案：

补丁暂未发现

建议用户在 IE 和 Outlook (Express) 中暂时禁止 Java Applet 。

Internet Options（Internet选项） -> Security（安全） -> Internet -> Custom Level（自定义级别） -> 在 Microsoft
  VM 中选择"Disable Java（禁用Java）".

milw0rm网站披露了这个漏洞的利用代码

但笔者检测发现漏洞实际威胁不强，简直就是alpha中的alpha，很难被运行起来

笔者电脑1.1G内存，运行之后浏览器直接崩溃（还有一次直接提示内存不足代码阻止运行），没有弹出框

=============================================================

漏洞简报

软件：Firefox3.5

类型：缓冲区溢出漏洞

预计利用指数：3【零星爆发或小规模爆发】

实际利用指数：4【中等规模爆发】

测试页面：http://home.graffiti.net/xuanwobbs/firefox.html 

补丁：据说最新版本已经修复

挂马页面：http://4t34t.56jrr.cn/aa/he.htm【此页面含有恶意代码，请慎入！】

DLL：owc10.dll

测试页面：http://aarwwefdds.justfree.com/of.htm

防范方法:

请点此下载REG文件并导入注册表,或手动设置KILLBIT
 

CLSID: 0955AC62-BF2E-4CBA-A2B9-A63F772D46CF

软件: Microsoft DirectShow(msvidctl.dll)

测试页面：http://aarwwefdds.justfree.com/mpeg.htm

如果发现漏洞会弹出提示框

解决方案：

请将以下文件保存为后缀名为.reg并双击导入注册表

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0955AC62-BF2E-4CBA-A2B9-A63F772D46CF}]
"Compatibility Flags"=dword:00000400