JVNDB-2014-001278
|
Mozilla Thunderbird にメッセージ内の HTML 要素を適切にブロックしない脆弱性
|
Mozilla Thunderbird には、メッセージ内の HTML 要素を適切にブロックしない脆弱性が存在します。
Mozilla Thunderbird の初期設定では、HTML 形式のメッセージ内にスクリプトタグ等が埋め込まれていても、それらの表示や実行はブロックされます。
しかし、Data URI でエンコードされたスクリプトタグ等が含まれているメッセージを転送または返信すると、メッセージ内のスクリプトがデコードされ、実行されます。
|
CVSS v2 による深刻度 基本値: 4.3 (警告) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 中
- 攻撃前の認証要否: 不要
- 機密性への影響(C): なし
- 完全性への影響(I): 部分的
- 可用性への影響(A): なし
|
|
Mozilla Foundation
- Mozilla Thunderbird 17.0.8 およびそれ以前
|
|
細工されたメッセージを転送または返信すると、当該製品上で任意のスクリプトが実行されます。
|
[アップデートする]
開発者が提供する情報をもとに、対応するアップデートを適用してください。
|
Mozilla Foundation
|
- クロスサイトスクリプティング(CWE-79) [NVD評価]
|
- CVE-2013-6674
|
- JVN : JVNVU#95235528
- National Vulnerability Database (NVD) : CVE-2013-6674
- US-CERT Vulnerability Note : VU#863369
- 関連文書 : data URIs
- 関連文書 : The "data" URL scheme
|
- [2014年01月30日]
掲載
[2014年02月20日]
CVSS による深刻度:内容を更新
CWE による脆弱性タイプ一覧:CWE-ID を追加
参考情報:National Vulnerability Database (NVD) (CVE-2013-6674) を追加
|