JVNDB-2007-000413

Mozilla 製品のレイアウトエンジンにおける複数のメモリ破壊の脆弱性

Mozilla 製品のレイアウトエンジンには、ダングリングポインタ (dangling pointer) やヒープ領域の破壊、signed/unsigned などに関連する複数のメモリ破壊の脆弱性が存在します。

Mozilla Foundation

• Mozilla Firefox 2.0.0.3 およびそれ以前
• Mozilla Firefox 1.5.0.11 およびそれ以前
• Mozilla SeaMonkey 1.0.8 およびそれ以前
• Mozilla SeaMonkey 1.1.1 およびそれ以前
• Mozilla Thunderbird 2.0.0.3 およびそれ以前
• Mozilla Thunderbird 1.5.0.11 およびそれ以前

サン・マイクロシステムズ

• Mozilla 1.7 (Solaris 8 SPARC 用)
• Mozilla 1.7 (Solaris 8 x86 用)
• Mozilla 1.7 (Solaris 9 SPARC 用)
• Mozilla 1.7 (Solaris 9 x86 用)
• Mozilla 1.7 (Solaris 10 SPARC 用)
• Mozilla 1.7 (Solaris 10 x86 用)
• Sun Solaris 10 (sparc) 
• Sun Solaris 10 (x86) 
• Sun Solaris 8 (sparc) 
• Sun Solaris 8 (x86) 
• Sun Solaris 9 (sparc) 
• Sun Solaris 9 (x86) 

ターボリナックス

• Turbolinux 10_f 
• Turbolinux Desktop 10 
• Turbolinux FUJI
• Turbolinux Multimedia
• Turbolinux Personal
• Turbolinux Server 10  
• Turbolinux Server 10 (x64) 
• ターボリナックス ホーム 
• wizpy

ヒューレット・パッカード

• HP-UX 11.11 
• HP-UX 11.23 
• HP-UX 11.31 

ミラクル・リナックス

• Asianux Server 4.0 
• Asianux Server 4.0 (x86-64) 

レッドハット

• RHEL Optional Productivity Applications 5 (server) 
• Red Hat Enterprise Linux 5 (server) 
• Red Hat Enterprise Linux 2.1 (as) 
• Red Hat Enterprise Linux 3 (as) 
• Red Hat Enterprise Linux 4 (as) 
• Red Hat Enterprise Linux 2.1 (es) 
• Red Hat Enterprise Linux 3 (es) 
• Red Hat Enterprise Linux 4 (es) 
• Red Hat Enterprise Linux 2.1 (ws) 
• Red Hat Enterprise Linux 3 (ws) 
• Red Hat Enterprise Linux 4 (ws) 
• Red Hat Enterprise Linux Desktop 3.0 
• Red Hat Enterprise Linux Desktop 4.0 
• Red Hat Enterprise Linux Desktop 5.0 (client) 
• Red Hat Linux Advanced Workstation 2.1 
• RHEL Desktop Workstation 5 (client) 

第三者が細工した Web ページを参照することで、レイアウトエンジンがクラッシュし、Mozilla 製品がサービス運用妨害 (DoS) 状態となる可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Mozilla Foundation

• Mozilla Foundation Security Advisory : mfsa2007-12
• Mozilla Foundation セキュリティアドバイザリ : mfsa2007-12

サン・マイクロシステムズ

• Sun Alert Notification : 103136

ターボリナックス

• Turbolinux Security Advisory (英語) : TLSA-2007-32
• 製品セキュリティ情報 : TLSA-2007-32

ヒューレット・パッカード

• HP Security Bulletin : HPSBUX02153
• HP Security Bulletin : HPSBUX02156
• HP セキュリティ報告 : HPSBUX02153
• HP セキュリティ報告 : HPSBUX02156

ミラクル・リナックス

• MIRACLE LINUX アップデート情報 : firefox (V4.0)

レッドハット

• Red Hat Security Advisory : RHSA-2007:0400
• Red Hat Security Advisory : RHSA-2007:0401
• Red Hat Security Advisory : RHSA-2007:0402
• レッドハット セキュリティーアップデート : RHSA-2007:0400
• レッドハット セキュリティーアップデート : RHSA-2007:0401
• レッドハット セキュリティーアップデート : RHSA-2007:0402

1. バッファエラー(CWE-119) [NVD評価]

1. CVE-2007-2867

1. JVN : JVNTA07-151A
2. JVN Status Tracking Notes : TRTA07-151A
3. National Vulnerability Database (NVD) : CVE-2007-2867
4. US-CERT Cyber Security Alerts : SA07-151A
5. US-CERT Vulnerability Note : VU#751636
6. US-CERT Technical Cyber Security Alert : TA07-151A
7. Secunia Advisory : SA25489
8. Secunia Advisory : SA25488
9. Secunia Advisory : SA25469
10. SecurityFocus : 24242
11. FrSIRT Advisories : FrSIRT/ADV-2007-1994

• [2007年06月08日]
    掲載
  [2007年06月27日]
    影響を受けるシステムを更新しました。
    ベンダ情報: ターボリナックスの情報を追加しました。
  [2007年07月31日]
    影響を受けるシステム：ヒューレット・パッカード (HPSBUX02153) の情報追加。
    ベンダ情報: ヒューレット・パッカード (HPSBUX02153) 追加。
  [2007年11月08日]
    影響を受けるシステム：サン・マイクロシステムズ (103136) の情報追加。
    ベンダ情報: サン・マイクロシステムズ (103136) 追加。
  [2008年01月23日]
    影響を受けるシステム：ヒューレット・パッカード (HPSBUX02153) の情報追加。
    ベンダ情報：ヒューレット・パッカード (HPSBUX02153) 追加。