Mozilla上周四更新了Firefox浏览器，配置了11个漏洞补丁，包括六个严重漏洞，大部分都是和JavaScript相关的。攻击者可以利用漏洞运行任意代码，并获得对系统文件的访问。

　　Firefox 3.0.11修复了严重的内存错误（memory corruption errors）、紊乱状态（race condition）和JavaScript chrome权限提升问题。大部分用户浏览器都会自动更新到最新版本。
 
　　在公告列表中，Mozilla说，JavaScript chrome权限提升允许页面内容的脚本使用权限运行。还修复了内存崩溃错误，稳定了浏览器引擎。

　　Mozilla说：“这些问题中的一部分表明在一定情况下会出现内存崩溃，我们认为只要作了足够的工作，这些问题中会有一些被用于运行任意代码。”
 
　　Mozilla说紊乱状态（race condition）的存在允许攻击者在有人转载Java程序的特定情况下写入释放内存。浏览器制造商还修复了这样一种状况，事件监听器可以在错误的JavaScript环境中执行。

　　Mozilla说：“攻击者可以使用这个漏洞让恶意的事件处理器利用chrome权限执行任意JavaScript。”严重级别较低的漏洞还包括：

? CVE-2009-1834：使用无效字符的URL。错误的存在允许攻击者显示Internationalized Domain Name的一部分在本地的whitespace的一部分。

? CVE-2009-1835：本地文件的任意域cookie访问。Mozilla说这个漏洞要求大量用户和攻击者的攻击互动。用户可能必须要下载恶意文件，并在他们的浏览器中打开。它然后就可以窃取受害者电脑上的任意cookie。这个漏洞是中度级别。

? CVE-2009-1839：文件的不正确主要设置。Mozilla说，这个漏洞很难利用。可以被利用的情况是用户下载恶意文件，然后在相同的窗口中打开攻击者的文件之前， 打开攻击者感兴趣的目录中的另一个文件。这个漏洞是中等级别。

? CVE-2009-1840：XUL脚本绕过内容策略检查。Mozilla说，内容加载策略没有在向XUL文档加载外面脚本文件之间进行检查。漏洞级别是低等。