JVNDB-2007-000951

Mozilla Firefox における jar URI にクロスサイトスクリプティングの脆弱性

Mozilla Firefox には、ウェブサイト上の細工されたアーカイブファイルを jar: URI 形式を処理する際にクロスサイトスクリプティングの脆弱性が存在します。

Mozilla Firefox は、圧縮されたファイルからコンテンツを展開する jar: URI 形式をサポートしています。jar:[url]![filename path] 形式でウェブサイト上の細工されたアーカイブファイルにアクセスした際、クロスサイトスクリプティングの脆弱性が存在します。

この脆弱性を用いた攻撃では、細工されたアーカイブファイルをサイトに設置し、Mozilla ベースのブラウザで当該ファイルへアクセスさせることが必要となります。

Mozilla Foundation

• Mozilla Firefox 2.0.0.9 およびそれ以前
• Mozilla SeaMonkey 1.1.6 およびそれ以前

サン・マイクロシステムズ

• Sun Solaris 10 (sparc) 
• Sun Solaris 10 (x86) 

ターボリナックス

• Turbolinux FUJI
• Turbolinux Server 11  
• Turbolinux Server 11 (x64) 
• wizpy

ヒューレット・パッカード

• HP-UX 11.11 
• HP-UX 11.23 

ミラクル・リナックス

• Asianux Server 2.0 
• Asianux Server 2.1 
• Asianux Server 4.0 
• Asianux Server 4.0 (x86-64) 

レッドハット

• RHEL Optional Productivity Applications 5 (server) 
• Red Hat Enterprise Linux 4 (as) 
• Red Hat Enterprise Linux 4 (es) 
• Red Hat Enterprise Linux 4 (ws) 
• Red Hat Enterprise Linux Desktop 4.0 
• Red Hat Enterprise Linux Desktop 5.0 (client) 

ユーザのウェブブラウザ上で任意のコードを実行される可能性あります。

2007/11/26 に、本件への対策を行なった 2.0.0.10 が公開されました。また、2007/11/30 には、その他のバグ対応を行なった 2.0.0.11 が公開されています。

アップデートする
Mozilla より提供されている最新バージョンへアップデートしてください。

Mozilla Foundation

• Mozilla Foundation : Top Page
• Mozilla Foundation Security Advisory : mfsa2007-37
• Mozilla Foundation セキュリティアドバイザリ : mfsa2007-37

サン・マイクロシステムズ

• Sun Alert Notification : 231441

ターボリナックス

• Turbolinux Security Advisory (英語) : TLSA-2007-54
• 製品セキュリティ情報 : TLSA-2007-54

ヒューレット・パッカード

• HP Security Bulletin : HPSBUX02153
• HP セキュリティ報告 : HPSBUX02153

ミラクル・リナックス

• MIRACLE LINUX アップデート情報 : seamonkey (V2.x)
• MIRACLE LINUX アップデート情報 : firefox (V4.0)

レッドハット

• Red Hat Security Advisory : RHSA-2007:1083
• レッドハット セキュリティーアップデート : RHSA-2007:1083

1. クロスサイトスクリプティング(CWE-79) [NVD評価]

1. CVE-2007-5947

1. JVN : JVNVU#715737
2. National Vulnerability Database (NVD) : CVE-2007-5947
3. US-CERT Vulnerability Note : VU#715737
4. Secunia Advisory : SA27605
5. SecurityFocus : 26385
6. ISS X-Force Database : 38356
7. SecurityTracker : 1018928
8. FrSIRT Advisories : FrSIRT/ADV-2007-3818

• [2007年12月03日]
    掲載
  [2007年12月12日]
    影響を受けるシステム：Mozilla Foundation (mfsa2007-37) の情報追加。
    影響を受けるシステム：ターボリナックス (TLSA-2007-54) の情報追加。
    影響を受けるシステム：ミラクル・リナックス (seamonkey (V2.x)) の情報追加。
    ベンダ情報：Mozilla Foundation (mfsa2007-37) 追加。
    ベンダ情報：ターボリナックス (TLSA-2007-54) 追加。
    ベンダ情報：ミラクル・リナックス (seamonkey (V2.x)) 追加。
  [2007年12月13日]
    対策：対策方法の記述を更新しました。
  [2007年12月25日]
    影響を受けるシステム：ミラクル・リナックス (firefox (V4.0)) の情報追加。
    影響を受けるシステム：レッドハット (RHSA-2007:1083) の情報追加。
    ベンダ情報：ミラクル・リナックス (firefox (V4.0)) 追加。
    ベンダ情報：レッドハット (RHSA-2007:1083) 追加。
  [2008年01月23日]
    影響を受けるシステム：ヒューレット・パッカード (HPSBUX02153) の情報追加。
    ベンダ情報：ヒューレット・パッカード (HPSBUX02153) 追加。
  [2008年03月05日]
    影響を受けるシステム：サン・マイクロシステムズ (231441) の情報追加。
    ベンダ情報：サン・マイクロシステムズ (231441) 追加。