JVNDB-2007-000543

Mozilla Firefox においてコンテンツが偽装される問題

Mozilla Firefox には、document.write() メソッドの実装に不備があり、IFRAME コンテンツの読み込み中に about:blank フレームにおいて、任意のコンテンツ (HTML や JavaScript) を挿入することが可能な問題が存在します。

Mozilla Foundation

• Mozilla Firefox 2.0.0.4 およびそれ以前

サン・マイクロシステムズ

• Sun Solaris 10 (sparc) 
• Sun Solaris 10 (x86) 

ヒューレット・パッカード

• HP-UX 11.11 
• HP-UX 11.23 

ミラクル・リナックス

• Asianux Server 2.0 
• Asianux Server 2.1 
• Asianux Server 4.0 
• Asianux Server 4.0 (x86-64) 
• Asianux Server 3 (x86) 
• Asianux Server 3 (x86-64) 

レッドハット

• RHEL Optional Productivity Applications 5 (server) 
• Red Hat Enterprise Linux 5 (server) 
• Red Hat Enterprise Linux 2.1 (as) 
• Red Hat Enterprise Linux 3 (as) 
• Red Hat Enterprise Linux 4 (as) 
• Red Hat Enterprise Linux 2.1 (es) 
• Red Hat Enterprise Linux 3 (es) 
• Red Hat Enterprise Linux 4 (es) 
• Red Hat Enterprise Linux 2.1 (ws) 
• Red Hat Enterprise Linux 3 (ws) 
• Red Hat Enterprise Linux 4 (ws) 
• Red Hat Enterprise Linux Desktop 3.0 
• Red Hat Enterprise Linux Desktop 4.0 
• Red Hat Enterprise Linux Desktop 5.0 (client) 
• Red Hat Linux Advanced Workstation 2.1 
• RHEL Desktop Workstation 5 (client) 

第三者に信頼されるコンテンツが偽装され、更なる攻撃に利用される可能性があります

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Mozilla Foundation

• Mozilla Foundation Security Advisory : mfsa2007-20
• Mozilla Foundation セキュリティアドバイザリ : mfsa2007-20

サン・マイクロシステムズ

• Sun Alert Notification : 103177

ヒューレット・パッカード

• HP Security Bulletin : HPSBUX02153
• HP セキュリティ報告 : HPSBUX02153

ミラクル・リナックス

• Asianux Technical Support Network : firefox-1.5.0.12-3.1AX
• MIRACLE LINUX アップデート情報 : seamonkey (V2.x)
• MIRACLE LINUX アップデート情報 : firefox (V4.0)

レッドハット

• Red Hat Security Advisory : RHSA-2007:0722
• Red Hat Security Advisory : RHSA-2007:0723
• Red Hat Security Advisory : RHSA-2007:0724
• レッドハット セキュリティーアップデート : RHSA-2007:0722
• レッドハット セキュリティーアップデート : RHSA-2007:0723
• レッドハット セキュリティーアップデート : RHSA-2007:0724

富士通

• 富士通 セキュリティ情報 : TA07-199A

1. 設計上の問題(CWE-DesignError) [NVD評価]

1. CVE-2007-3089

1. JVN : JVNTA07-199A
2. JVN Status Tracking Notes : TRTA07-199A
3. National Vulnerability Database (NVD) : CVE-2007-3089
4. JPCERT REPORT : JPCERT-WR-2007-2701
5. 警察庁 @police : Firefox および Thunderbird の脆弱性について
6. US-CERT Cyber Security Alerts : SA07-199A
7. US-CERT Vulnerability Note : VU#143297
8. US-CERT Technical Cyber Security Alert : TA07-199A
9. Secunia Advisory : SA26095
10. SecurityFocus : 24286
11. FrSIRT Advisories : FrSIRT/ADV-2007-2564

• [2007年07月30日]
    掲載
  [2007年09月25日]
    影響を受けるシステム：ヒューレット・パッカード (HPSBUX02153) の情報追加。
    ベンダ情報: ヒューレット・パッカード (HPSBUX02153) 追加。
  [2007年11月27日]
    影響を受けるシステム：ミラクル・リナックス (firefox-1.5.0.12-3.1AX) の情報追加。
    ベンダ情報: ミラクル・リナックス (firefox-1.5.0.12-3.1AX) 追加。
  [2008年01月11日]
    影響を受けるシステム：サン・マイクロシステムズ (103177) の情報追加。
    ベンダ情報：サン・マイクロシステムズ (103177) 追加。
    ベンダ情報：富士通 (TA07-199A) 追加。