JVNDB-2013-002737

Mozilla Firefox および Thunderbird における特定の読み取り専用の制限を回避される脆弱性

Mozilla Firefox および Thunderbird のクロームオブジェクトラッパー (COW) の実装は、コンテンツレベルコンストラクタを呼び出す際、chrome 権限の取得を制限しないため、特定の読み取り専用の制限を回避される、およびクロスサイトスクリプティング攻撃を実行される脆弱性が存在します。

Mozilla Foundation

• Mozilla Firefox 21.0 未満
• Mozilla Firefox ESR 17.0.6 未満
• Mozilla Thunderbird 17.0.6 未満
• Mozilla Thunderbird ESR 17.0.6 未満

第三者により、巧妙に細工された Web サイトを介して、特定の読み取り専用の制限を回避される、およびクロスサイトスクリプティング攻撃を実行される可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Canonical

• Ubuntu Security Notice : USN-1822-1
• Ubuntu Security Notice : USN-1823-1

Debian

• Debian Security Advisory : DSA-2699

Mozilla Foundation

• Mozilla Foundation Security Advisory : MFSA2013-42
• Mozilla Foundation セキュリティアドバイザリ : MFSA2013-42

openSUSE project

• opensuse-security-announce : openSUSE-SU-2013:0834
• opensuse-security-announce : openSUSE-SU-2013:0631
• opensuse-security-announce : openSUSE-SU-2013:0825
• opensuse-security-announce : openSUSE-SU-2013:0946
• opensuse-security-announce : openSUSE-SU-2013:0929

レッドハット

• Red Hat Security Advisory : RHSA-2013-0821
• Red Hat Security Advisory : RHSA-2013-0820

1. 認可・権限・アクセス制御(CWE-264) [NVD評価]
2. クロスサイトスクリプティング(CWE-79) [NVD評価]

1. CVE-2013-1670

1. National Vulnerability Database (NVD) : CVE-2013-1670

• [2013年05月17日]
    掲載
  [2013年06月03日]
    ベンダ情報：Ubuntu (USN-1822-1) を追加
    ベンダ情報：レッドハット (RHSA-2013-0821) を追加
    ベンダ情報：レッドハット (RHSA-2013-0820) を追加
  [2013年06月17日]
    ベンダ情報：Ubuntu (USN-1823-1) を追加
    ベンダ情報：openSUSE (openSUSE-SU-2013:0834) を追加
    ベンダ情報：openSUSE (openSUSE-SU-2013:0631) を追加
    ベンダ情報：openSUSE (openSUSE-SU-2013:0825) を追加
  [2013年06月21日]
    ベンダ情報：Debian (DSA-2699) を追加
  [2013年06月28日]
    ベンダ情報：openSUSE (openSUSE-SU-2013:0946) を追加
    ベンダ情報：openSUSE (openSUSE-SU-2013:0929) を追加