JVNDB-2006-000558

JVNDB-2006-000558
Mozilla 製品の JavaScript エンジンにおけるヒープオーバーフローの脆弱性
概要
Mozilla 製品には JavaScript エンジンにおいて、量指定子 (*, ? など) を含む正規表現を処理する際の不備により、ヒープオーバーフローが発生する脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)
CVSS v2 による深刻度基本値: 9.3 (危険) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 中攻撃前の認証要否: 不要機密性への影響(C): 全面的完全性への影響(I): 全面的可用性への影響(A): 全面的
影響を受けるシステム

Mozilla Foundation Mozilla Firefox 1.5.0.6 およびそれ以前 Mozilla SeaMonkey 1.0.4 およびそれ以前 Mozilla Thunderbird 1.5.0.6 およびそれ以前サイバートラスト株式会社 Asianux Server 2.0 Asianux Server 2.1 レッドハット Red Hat Enterprise Linux 2.1 (as) Red Hat Enterprise Linux 3 (as) Red Hat Enterprise Linux 4 (as) Red Hat Enterprise Linux 2.1 (es) Red Hat Enterprise Linux 3 (es) Red Hat Enterprise Linux 4 (es) Red Hat Enterprise Linux 2.1 (ws) Red Hat Enterprise Linux 3 (ws) Red Hat Enterprise Linux 4 (ws) Red Hat Enterprise Linux Desktop 3.0 Red Hat Enterprise Linux Desktop 4.0 Red Hat Linux Advanced Workstation 2.1

想定される影響
第三者により、Mozilla 製品をクラッシュされる、あるいは標的ユーザの権限で任意のコードを実行される可能性があります。
対策
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報
Mozilla Foundation Mozilla Foundation Security Advisory : mfsa2006-57 Mozilla Foundation セキュリティアドバイザリ : mfsa2006-57 サイバートラスト株式会社 MIRACLE LINUX アップデート情報 : seamonkey (V2.x) レッドハット Red Hat Security Advisory : RHSA-2006:0677 Red Hat Security Advisory : RHSA-2006:0676 Red Hat Security Advisory : RHSA-2006:0675 レッドハットセキュリティーアップデート : RHSA-2006:0677 レッドハットセキュリティーアップデート : RHSA-2006:0676 レッドハットセキュリティーアップデート : RHSA-2006:0675
CWEによる脆弱性タイプ一覧 CWEとは?
バッファエラー(CWE-119) [NVD評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2006-4565
参考情報
National Vulnerability Database (NVD) : CVE-2006-4565 SecurityFocus : 20042 ISS X-Force Database : 28955
更新履歴
[2007年04月01日] 掲載


公表日	2006/09/14
登録日	2007/04/01
最終更新日	2007/04/01

Mozilla 製品の JavaScript エンジンにおけるヒープオーバーフローの脆弱性