JVNDB-2006-000078

Mozilla 製品の Javascript インタプリタにおけるサービス運用妨害 (DoS) の脆弱性

------------
本脆弱性情報は、同時期に公開された複数の脆弱性について、まとめて解説したものです。タイトル以外の他の脆弱性情報の内容が含まれていますので予めご了承ください。
------------

Mozilla Firefox、Thunderbird、Mozilla Suite には、以下の複数のセキュリティ上の問題が存在します。

1) JavaScript エンジンにおいて、一部のルーチンが使用する一時変数が、ガベージコレクションに対して適切に保護されていない問題が存在します。(CVE-2006-0292/CVE-2006-0293)

そのため、意図的に作成されたオブジェクトにより、一時変数の存続期間中に呼び出されたユーザ定義メソッドがガベージコレクションを引き起こした場合、予期せず開放された一時オブジェクトが参照される可能性があります。

リモートの攻撃者に悪用された場合、結果としてメモリ領域が不正に破壊され、潜在的に任意のコードが実行される可能性があります。

2) XULDocument.persist() において、第二引数に指定される属性名に対する検証が不適切である問題が存在します。(CVE-2006-0296)

そのため、不正な Web ページを介して、プログラム起動時に読み書きされる設定ファイル localstore.rdf に任意の XML が挿入されてしまう可能性があります。

リモートの攻撃者に悪用された場合、プログラム起動時に任意の JavaScript が実行される可能性があります。

Mozilla Foundation

• Mozilla Firefox 1.5
• Mozilla Firefox 1.0.7 およびそれ以前

サン・マイクロシステムズ

• Sun Solaris 8 (sparc) 
• Sun Solaris 8 (x86) 
• Sun Solaris 9 (sparc) 
• Sun Solaris 9 (x86) 
• Sun Solaris 10 (sparc) 
• Sun Solaris 10 (x86) 

ヒューレット・パッカード

• HP-UX 11.00 
• HP-UX 11.11 
• HP-UX 11.23 

ミラクル・リナックス

• Asianux Server 3.0 
• Asianux Server 3.0 (x86-64) 
• Asianux Server 4.0 
• Asianux Server 4.0 (x86-64) 

レッドハット

• Red Hat Enterprise Linux 2.1 (as) 
• Red Hat Enterprise Linux 3 (as) 
• Red Hat Enterprise Linux 4 (as) 
• Red Hat Enterprise Linux 2.1 (es) 
• Red Hat Enterprise Linux 3 (es) 
• Red Hat Enterprise Linux 4 (es) 
• Red Hat Enterprise Linux 2.1 (ws) 
• Red Hat Enterprise Linux 3 (ws) 
• Red Hat Enterprise Linux 4 (ws) 

本脆弱性に伴う影響については、「概要」をご参照ください。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Mozilla Foundation

• Mozilla Foundation Security Advisory : mfsa2006-01
• Mozilla Foundation Security Advisory : mfsa2006-05
• Mozilla Foundation セキュリティアドバイザリ : mfsa2006-01
• Mozilla Foundation セキュリティアドバイザリ : mfsa2006-05

サン・マイクロシステムズ

• Sun Alert Notification : 102550
• Sun Alert Notification : 102612
• Sun Alert Notification 日本語版 : 102550
• Sun Alert Notification 日本語版 : 102612

ヒューレット・パッカード

• HP Security Bulletin : HPSBUX02122
• HP Security Bulletin : HPSBUX02156
• HP セキュリティ報告 : HPSBUX02122
• HP セキュリティ報告 : HPSBUX02156

ミラクル・リナックス

• MIRACLE LINUX アップデート情報 : AXSA-2006-19:1
• MIRACLE LINUX アップデート情報 : AXSA-2006-19:1

レッドハット

• Red Hat Security Advisory : RHSA-2006:0200
• Red Hat Security Advisory : RHSA-2006:0199
• Red Hat Security Advisory : RHSA-2006:0330
• レッドハット セキュリティーアップデート : RHSA-2006:0200
• レッドハット セキュリティーアップデート : RHSA-2006:0199
• レッドハット セキュリティーアップデート : RHSA-2006:0330

1. CVE-2006-0292

1. JVN : JVNTA06-038A
2. JVN Status Tracking Notes : TRTA06-038A
3. National Vulnerability Database (NVD) : CVE-2006-0292
4. US-CERT Cyber Security Alerts : SA06-038A
5. US-CERT Technical Cyber Security Alert : TA06-038A
6. Secunia Advisory : SA18700
7. SecurityFocus : 16476
8. FrSIRT Advisories : FrSIRT/ADV-2006-0413

• [2007年04月01日]
    掲載