公開日:2004/09/19 最終更新日:2004/09/19

JVNTA04-261A
Mozilla ならびに系統製品に複数の脆弱性

概要

Mozilla ならびにその系統製品には、バッファオーバーフローなどの複数の脆弱性が確認されています。

影響を受けるシステム

  • Mozilla ソフトウェア
    + Mozilla web ブラウザ, 電子メールならびにニュースクライアント
    + Firefox web ブラウザ
    + Thunderbird 電子メールクライアント

詳細情報

想定される影響

遠隔から第三者が Mozilla, Firefox, Thunderbird を実行しているユーザの権限を取得する可能性があります。

対策方法

参考情報

  1. US-CERT Vulnerability Note VU#414240
    Mozilla Mail vulnerable to buffer overflow via "writeGroup()" function in "nsVCardObj.cpp"
  2. US-CERT Vulnerability Note VU#847200
    Mozilla contains integer overflows in bitmap image decoder
  3. US-CERT Vulnerability Note VU#808216
    Mozilla contains heap overflow in UTF8 conversion of hostname portion of URLs
  4. US-CERT Vulnerability Note VU#125776
    Multiple buffer overflows in Mozilla POP3 protocol handler
  5. US-CERT Vulnerability Note VU#327560
    Mozilla "send page" feature contains a buffer overflow vulnerability
  6. US-CERT Vulnerability Note VU#651928
    Mozilla may allow violation of cross-domain scripting policies via dragging
  7. ISS X-Force Database: mozilla-netscape-nsvcardobj-bo(17380)
    Mozilla, Firefox, Thunderbird, and Netscape nsVCardObj.cpp buffer overflow
  8. ISS X-Force Database: mozilla-netscape-bmp-bo(17381)
    Mozilla BMP buffer overflow
  9. ISS X-Force Database: mozilla-netscape-nonascii-bo(17378)
    Mozilla, Firefox, Thunderbird, and Netscape non-ascii character buffer overflow
  10. ISS X-Force Database: mozilla-nspop3protocol-bo(17379)
    Mozilla, Firefox, and Thunderbird nsPop3Protocol.cpp buffer overflow
  11. ISS X-Force Database: mozilla-netscape-nsmsgcomputils-bo(17370)
    Mozilla, Firefox, Thunderbird, and Netscape nsMsgCompUtils.ccp buffer overflow

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT JPCERT-WR-2004-3701
JPCERT/CC REPORT 2004-09-22
CERT Advisory Technical Cyber Security Alert TA04-261A
Multiple vulnerabilities in Mozilla products
CPNI Advisory
TRnotes
CVE
JVN iPedia