銳銳3.1.1和2.8.1發布

2010年5月5日在下午1時53分由Eric米拉利亞|在發展 | 2評論

團隊發布的銳銳2.8.13.1.1銳今天。 其中的每個小版本包含了一套有針對性的錯誤修正。 值得注意的是,歷史在這兩個組件庫進行了更新,糾正問題,可能導致 XSS漏洞在一些實現。

歷史問題

瑞安韋糾正的問題涉及銳2瀏覽器歷史記錄管理器銳3歷史 寫瑞恩:

在以前的版本中銳,HTML標記在歷史上是沒有逃過前值被寫入到一個隱藏的iframe在IE6和IE7,這可能導致在某些情況下執行腳本。 攻擊者有能力創造一個未經過濾的鏈接頁面上,使用銳 2瀏覽器歷史記錄管理器或銳 3歷史(例如,通過張貼了評論博客,博客的軟件沒有正確過濾評論)可以在理論上注入任意HTML或腳本會被執行,然後當用戶點擊該鏈接。 2.8.1和3.1.1銳銳解決這一問題。 為了緩解這一版本的銳 2.8.1和3.1.1之前,確保用戶輸入的HTML字符總是逃脫(無論是在服務器或客戶端)使用前建造的鏈接或歷史價值。

這些更新強烈建議所有用戶 YUI的瀏覽器的歷史記錄功能。

銳 3.1.1

除了固定的歷史,銳 3.1.1包含大約 20次要更新整個圖書館。 請參閱3.1.1銳票名單的全部細節。

銳 2.8.1

2.8.1在銳涉及的問題包括歷史的脆弱性和輕微的更新自動完成,數據表,TreeView和上傳。

我們還更新了數銳 2的例子,在Flickr API的聘用。 這些例子以前使用一個 Flickr的API密鑰已開始成為過度使用 - 可能是通過無意複製並粘貼到第三方應用程序。 如果您發現此問題是影響您的應用程序-例如,你的Flickr圖像不再出現或你看到的錯誤在Flickr相關的實現,其來源是來自一個例子銳-你應該頭部到Flickr和拿起你自己的API的關鍵

查找談話: bloglines | Technorati的

共享和擴展: 書籤和書籤 | Digg它! | reddit!

2評論»

RSS提要的評論這篇文章。 引用地址

  1. [...]銳和銳 2.8.1 3.1.1發布 - 雅虎的用戶界面團隊宣布發布了兩個小銳,一個在2.8版本和3.1上的其他,主要是確定一個可能的跨站點腳本(XSS )漏洞的歷史記錄功能,另外增加了一些小的更新到其他組件的兩個版本。 [...]

    通告由早上的啤酒-克里斯阿爾科克»清晨的啤酒#594 - 2010年5月5日

  2. [...]銳 3.1.1和2.8.1發布銳(曾志偉米拉利亞)[...]

    通告由德夫德羅普- 2010年5月6日|阿爾文阿什克拉夫特的莫寧德夫 - 2010年5月6日

發表評論

注:意見進行審核的第一次出國。 垃圾郵件刪除。

的XHTML:的<a href="" title="">的<abbr title="">的<acronym title="">的的<b> <blockquote cite=""> <cite>的<code> <del datetime=""> <em>的<i> <q cite=""> <strike>的<strong>

主辦單位雅虎

版權所有© 2006-2011雅虎公司保留所有權利。 隱私權政策 - 服務條款

本站由WordPress的關於雅虎 虛擬主機