JVNDB-2012-003135

複数の Mozilla 製品における意図しない例外を追加させられる脆弱性

複数の Mozilla 製品 の browser/components/certerror/content/aboutCertError.xhtml 内の証明書警告機能は、about:certerror ページにおけるクリックジャッキング攻撃の試行を適切に処理しないため、ユーザが意図しない例外を追加させられる脆弱性が存在します。

Mozilla Foundation

• Mozilla Firefox 13 未満
• Mozilla Firefox ESR 10.0.6 未満
• Mozilla SeaMonkey 2.10 未満
• Mozilla Thunderbird 13 未満
• Mozilla Thunderbird ESR 10.0.6 未満

中間者攻撃 (man-in-the-middle attack) により、IFRAME 要素を介して、ユーザが意図しない例外を追加させられる可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Mozilla Foundation

• Mozilla Bugzilla : Bug 633691
• Mozilla Foundation Security Advisory : MFSA2012-54
• Mozilla Foundation セキュリティアドバイザリ : MFSA2012-54

openSUSE project

• opensuse-security-announce : openSUSE-SU-2012:0899
• opensuse-security-announce : SUSE-SU-2012:0895
• opensuse-security-announce : SUSE-SU-2012:0896

オラクル

• SECURITY BLOG : Multiple vulnerabilities in Thunderbird

レッドハット

• Red Hat Security Advisory : RHSA-2012:1088

1. 情報不足(CWE-noinfo) [NVD評価]

1. CVE-2012-1964

1. National Vulnerability Database (NVD) : CVE-2012-1964

• [2012年07月19日]
    掲載
  [2012年10月22日]
    ベンダ情報：openSUSE (openSUSE-SU-2012:0899) を追加
  [2012年11月29日]
    ベンダ情報：レッドハット (RHSA-2012:1088) を追加
    ベンダ情報：Mozilla Foundation (Bug 633691) を追加
    ベンダ情報：openSUSE (SUSE-SU-2012:0895) を追加
    ベンダ情報：openSUSE (SUSE-SU-2012:0896) を追加
  [2012年12月14日]
    ベンダ情報：オラクル (Multiple vulnerabilities in Thunderbird) を追加