公開日:2006/11/09 最終更新日:2006/11/10

JVNTA06-312A
Mozilla 製品における複数の脆弱性の修正

概要


Mozilla から提供されているウェブブラウザやその他の製品には複数の脆弱性があります。

Mozilla からはこれらの問題を修正した Mozilla Firefox / Thunderbird 1.5.0.8 が公開されています。
なお、Mozilla の advisory によると Firefox 2.0 (正式版)は影響ないとされています。

影響を受けるシステム


Mozilla ソフトウェア

  • SeaMonkey
  • Firefox
  • Thunderbird
  • Netscape&


その他に Mozilla コンポーネントを用いている製品(とくに Gecko エンジンを用いている製品)も影響を受ける可能性があります。

詳しくはベンダの提供する情報をご確認ください。

詳細情報

想定される影響


遠隔の第三者からアプリケーションを実行しているユーザの権限で任意のコードを実行される可能性があります。

また、https 接続や S/MIME 署名の検証において、RSA 署名を偽装される可能性があります。

対策方法

ベンダ情報

ベンダ リンク
Mozilla-Japan MFSA 2006-65: メモリ破壊の形跡があるクラッシュ (rv:1.8.0.8)
Mozilla-Japan MFSA 2006-66: RSA 署名の偽造 (変異型)
Mozilla-Japan MFSA 2006-67: 実行されたスクリプトの再コンパイル
Mozilla MFSA 2006-65: Crashes with evidence of memory corruption (rv:1.8.0.8)
Mozilla MFSA 2006-66: RSA Signature Forgery (variant)
Mozilla MFSA 2006-67: Running Script can be recompiled

参考情報

  1. Vulnerability Note VU#714496
    Mozilla products allow execution of arbitrary JavaScript
  2. Vulnerability Note VU#335392
    The Mozilla Network Security Services library fails to properly verify RSA signatures
  3. Vulnerability Note VU#815432
    Mozilla XML.prototype.hasOwnProperty() method memory corruption vulnerability
  4. Vulnerability Note VU#390480
    Mozilla products vulnerable to memory corruption
  5. Vulnerability Note VU#495288
    Mozilla products contain several unspecified errors in the layout engine

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
NISCC Advisory
TRnotes TRTA06-312A
CVE CVE-2006-5463 VU#714496
CVE-2006-5462 VU#335392
CVE-2006-5747 VU#815432
CVE-2006-5748 VU#390480
CVE-2006-5464 VU#495288

更新履歴

2006/11/10
TRnotes へのリンクを追加しました。