据报道，在Firefox浏览器的层叠样式表（CSS）中的漏洞使得研发人员很容易从浏览器层叠样式表中获得用户已访问过的列表清 单。尽管Mozilla早就了解这个错误的存在，但一直没有找到在不牺牲浏览器关键功能的前提下解决该问题的方法。
Mozilla网页安全专家希德·斯塔姆（Sid Stamm）声称：“很明显，这个漏洞的修补方法可以通过禁用浏览器中访问链接和未访问链接的不同样式即可。但这样就牺牲了Firefox浏览器的一项系统功能：关闭该不同样式后，Firefox浏览器不能为用户指出哪一个链接曾经访问过，哪一个链接是最新访问的网址。”

这个漏洞同样存在于其他网页浏览器中。斯塔姆指出：“为用户指出已访问链接是网页浏览器的一项重要功能，所以这个问题尽管存在很久了，但一直没有找到在不关闭可为用户指出历史链接功能的前提下，解决这一问题的方法。”

Sophos公司的安全顾问格拉汉姆·克鲁利（Graham Cluley）声称，尽管这一问题是个历史性的问题，但这个问题确实给用户隐私安全带来困扰。克鲁利说：“用户在使用网页浏览时，最关注的是个人浏览网页的隐私。如果其他人可以通过网页浏览器查看用户曾经访问过什么网页，他人可以通过用户曾访问过的网页内容来了解用户内心世界。”

Mozilla基金会准备用三种方法修补Firefox浏览器中的这一问题：1.通过改变已访问链接的风格，使得已访问链接很难被其他人筛选出来。2.尽量缩小已访问链接和未访问链接之间的展示时间差异。3.关闭使用Java脚本函数调用浏览器历史数据的功能。

但到目前为止，Mozilla基金会仍未给出解决这一问题补丁包的具体时间。

milw0rm网站披露了这个漏洞的利用代码

但笔者检测发现漏洞实际威胁不强，简直就是alpha中的alpha，很难被运行起来

笔者电脑1.1G内存，运行之后浏览器直接崩溃（还有一次直接提示内存不足代码阻止运行），没有弹出框

=============================================================

漏洞简报

软件：Firefox3.5

类型：缓冲区溢出漏洞

预计利用指数：3【零星爆发或小规模爆发】

实际利用指数：4【中等规模爆发】

测试页面：http://home.graffiti.net/xuanwobbs/firefox.html 

补丁：据说最新版本已经修复

挂马页面：http://4t34t.56jrr.cn/aa/he.htm【此页面含有恶意代码，请慎入！】