公開日:2008/03/28 最終更新日:2015/10/21

JVNTA08-087A
Mozilla 製品における複数の脆弱性に対するアップデート
緊急

概要

Mozilla が提供するウェブブラウザやその他製品の複数の脆弱性に対応した最新バージョンが公開されました。

影響を受けるシステム

  • Mozilla Firefox
  • Mozilla Thunderbird
  • Mozilla SeaMonkey

その他に Mozilla コンポーネントを用いている製品も影響を受ける可能性があります。

詳細情報

Mozilla が提供するウェブブラウザやその他製品の複数の脆弱性に対応した最新バージョンが公開されました。Mozilla からは、Firefox 2.0.0.13, SeaMonkey 1.1.9 が公開されています。

なお、2008/03/28 現在、Thunderbird 2.0.0.13 は公開されておりません。

想定される影響

想定される影響は各脆弱性によって異なりますが、遠隔の第三者によって任意のスクリプトを実行されたり、サービス運用妨害 (DoS) 攻撃を受けたりする可能性があります。

対策方法

アップデートする
開発元より提供されている最新バージョンへアップデートすることをお奨めします。

JavaScript を無効にする
いくつかの脆弱性に対しては、JavaScript を無効にしたり、Firefox の 機能拡張のひとつである NoScript を使用したりすることで回避することも可能です。 なお、Thunderbird では、JavaScript や Java は初期設定で無効となっています。

参考情報

  1. US-CERT Vulnerability Note VU#466521
    Mozilla JavaScript privilege escalation

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory Technical Cyber Security Alert TA08-87A
Mozilla Updates for Multiple Vulnerabilities
CPNI Advisory
TRnotes
CVE CVE-2008-1233
VU#466521 [[CVE-2008-1234:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1234]] VU#466521 [[CVE-2008-1235:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1235]] VU#466521 [[CVE-2007-1236:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1236]] [[CVE-2008-1237:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1237]] [[CVE-2008-1238:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1238]] [[CVE-2007-4879:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4879]] [[CVE-2008-1195:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1195]] [[CVE-2008-1240:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1240]] [[CVE-2008-1241:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1241]]
JVN iPedia

更新履歴

2008/04/03
ベンダ情報:富士通の情報を追加しました。
2015/10/21
ベンダ情報を更新しました