JVNDB-2013-002131

複数の Mozilla 製品の SOW の実装における同一生成元ポリシーを回避される脆弱性

複数の Mozilla 製品の System Only Wrapper (SOW) の実装は、保護されたノードを複製するための cloneNode メソッドの使用を制限しないため、同一生成元ポリシーを回避される、またはクローム特権で任意の JavaScript コードを実行される脆弱性が存在します。

Mozilla Foundation

• Mozilla Firefox 20.0 未満
• Mozilla Firefox ESR 17.0.5 未満
• Mozilla SeaMonkey 2.17 未満
• Mozilla Thunderbird 17.0.5 未満
• Mozilla Thunderbird ESR 17.0.5 未満

第三者により、巧妙に細工された Web サイトを介して、同一生成元ポリシーを回避される、またはクローム特権で任意の JavaScript コードを実行される可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Canonical

• Ubuntu Security Notice : USN-1791-1

Debian

• Debian Security Advisory : DSA-2699

Mozilla Foundation

• Mozilla Foundation Security Advisory : MFSA2013-36
• Mozilla Foundation セキュリティアドバイザリ : MFSA2013-36

openSUSE project

• opensuse-security-announce : openSUSE-SU-2013:0630
• opensuse-security-announce : openSUSE-SU-2013:0631
• opensuse-security-announce : SUSE-SU-2013:0645
• opensuse-security-announce : SUSE-SU-2013:0850
• opensuse-updates : openSUSE-SU-2013:0875

レッドハット

• Red Hat Security Advisory : RHSA-2013:0697
• Red Hat Security Advisory : RHSA-2013:0696

1. 認可・権限・アクセス制御(CWE-264) [NVD評価]

1. CVE-2013-0795

1. National Vulnerability Database (NVD) : CVE-2013-0795

• [2013年04月04日]
    掲載
  [2013年04月16日]
    ベンダ情報：openSUSE (openSUSE-SU-2013:0630) を追加
    ベンダ情報：Ubuntu (USN-1791-1) を追加
    ベンダ情報：レッドハット (RHSA-2013:0696) を追加
    ベンダ情報：レッドハット (RHSA-2013:0697) を追加
  [2013年06月13日]
    ベンダ情報：openSUSE (openSUSE-SU-2013:0631) を追加
    ベンダ情報：openSUSE (SUSE-SU-2013:0645) を追加
  [2013年06月19日]
    ベンダ情報：Debian (DSA-2699) を追加
    ベンダ情報：openSUSE (SUSE-SU-2013:0850) を追加
  [2013年06月27日]
    ベンダ情報：openSUSE (openSUSE-SU-2013:0875) を追加