JVNDB-2010-002577

Mozilla Firefox および SeaMonkey における任意の JavaScript を実行される脆弱性

Mozilla Firefox および SeaMonkey は、Firebug アドオンの XMLHttpRequestSpy モジュールが使用されている場合、XMLHttpRequestSpy オブジェクトと chrome 特権オブジェクトの処理に関して不備があるため、任意の JavaScript を実行される脆弱性が存在します。
本脆弱性は CVE-2010-0179 の修正が不完全だったことによる脆弱性です。

Mozilla Foundation

• Mozilla Firefox 3.6.13 未満
• Mozilla Firefox 3.5.16 未満
• Mozilla SeaMonkey 2.0.11 未満

ミラクル・リナックス

• Asianux Server 3 (x86) 
• Asianux Server 3 (x86-64) 
• Asianux Server 4.0 
• Asianux Server 4.0 (x86-64) 

レッドハット

• Red Hat Enterprise Linux 5 (server) 
• Red Hat Enterprise Linux 4 (as) 
• Red Hat Enterprise Linux 4.8 (as) 
• Red Hat Enterprise Linux 4 (es) 
• Red Hat Enterprise Linux 4.8 (es) 
• Red Hat Enterprise Linux 4 (ws) 
• Red Hat Enterprise Linux Desktop 4.0 
• Red Hat Enterprise Linux Desktop 6 
• Red Hat Enterprise Linux Desktop 5.0 (client) 
• Red Hat Enterprise Linux HPC Node 6 
• Red Hat Enterprise Linux Server 6 
• Red Hat Enterprise Linux Workstation 6 
• RHEL Desktop Workstation 5 (client) 

第三者により、巧妙に細工された HTTP レスポンスを介して、任意の JavaScript を実行される可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Mozilla Foundation

• Mozilla Foundation Security Advisory : MFSA2010-82
• Mozilla Foundation セキュリティアドバイザリ : MFSA2010-82

ミラクル・リナックス

• Asianux Technical Support Network : firefox-3.6.13-2.0.1.AXS3, xulrunner-1.9.2.13-3.0.1.AXS3
• MIRACLE LINUX アップデート情報 : 2167

レッドハット

• Red Hat Security Advisory : RHSA-2010:0966

1. 設計上の問題(CWE-DesignError) [NVD評価]

1. CVE-2010-3773

1. National Vulnerability Database (NVD) : CVE-2010-3773
2. Secunia Advisory : SA42517
3. Secunia Advisory : SA42518
4. VUPEN Security : VUPEN/ADV-2010-3164

• [2011年01月06日]
    掲載