JVNDB-2006-000943

JVNDB-2006-000943
Mozilla Thunderbird/SeaMonkey における XBL ファイルを介して JavaScript を実行される脆弱性
概要
Mozilla Thunderbird および SeaMonkey には、JavaScript が無効になっている環境においても「画像を読み込む」設定を有効にしている場合、メッセージによって読み込まれるリモートの XBL ファイルに埋め込まれたスクリプトを介して JavaScript を実行可能な脆弱性が存在します。 Mozilla Foundation によると、JavaScript の無効は既定で設定されていることが報告されています。
CVSS による深刻度 (CVSS とは?)
CVSS v2 による深刻度基本値: 2.6 (注意) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 高攻撃前の認証要否: 不要機密性への影響(C): なし完全性への影響(I): 部分的可用性への影響(A): なし
影響を受けるシステム

Mozilla Foundation Mozilla SeaMonkey 1.0.4 およびそれ以前 Mozilla Thunderbird 1.5.0.6 およびそれ以前ヒューレット・パッカード HP-UX 11.11 HP-UX 11.23 レッドハット Red Hat Enterprise Linux 2.1 (as) Red Hat Enterprise Linux 3 (as) Red Hat Enterprise Linux 4 (as) Red Hat Enterprise Linux 2.1 (es) Red Hat Enterprise Linux 3 (es) Red Hat Enterprise Linux 4 (es) Red Hat Enterprise Linux 2.1 (ws) Red Hat Enterprise Linux 3 (ws) Red Hat Enterprise Linux 4 (ws) Red Hat Enterprise Linux Desktop 3.0 Red Hat Enterprise Linux Desktop 4.0 Red Hat Linux Advanced Workstation 2.1

想定される影響
第三者が細工した XBL ファイルを読み込むメールメッセージをユーザが表示、返信あるいは転送する際に JavaScript が実行されてしまい、JavaScript の無効設定を回避される可能性があります。
対策
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報
Mozilla Foundation Mozilla Foundation Security Advisory : mfsa2006-63 Mozilla Foundation セキュリティアドバイザリ : mfsa2006-63 ヒューレット・パッカード HP Security Bulletin : HPSBUX02153 HP Security Bulletin : HPSBUX02156 レッドハット Red Hat Security Advisory : RHSA-2006:0676 Red Hat Security Advisory : RHSA-2006:0677 レッドハットセキュリティーアップデート : RHSA-2006:0676 レッドハットセキュリティーアップデート : RHSA-2006:0677
CWEによる脆弱性タイプ一覧 CWEとは?
その他(CWE-Other) [NVD評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2006-4570
参考情報
National Vulnerability Database (NVD) : CVE-2006-4570 Secunia Advisory : SA21940 SecurityFocus : 20042 ISS X-Force Database : 28962 SecurityTracker : 1016866 SecurityTracker : 1016867
更新履歴
[2007年04月26日] 掲載


公表日	2006/09/14
登録日	2007/04/26
最終更新日	2007/04/26

Mozilla Thunderbird/SeaMonkey における XBL ファイルを介して JavaScript を実行される脆弱性