Vendor Status Note JVNCIAC-P-193

Firefox および Mozilla Suite の脆弱性

Firefox および Mozilla Suite には、javascript: 形式の URL の処理に脆弱性があります。

影響を受けるシステム
　- Firefox 1.0.2 およびそれ以前
　- Mozilla Suite 1.7.6 およびそれ以前

注：Mozilla Foundation は 2005年5月8日、Firefox 1.0.3 (およびそれ以前) と
　　Mozilla Suite 1.7.7 (およびそれ以前) にも javascript: 形式の URL の処理に
　　別の脆弱性 (iconURL) が存在することを発表しました。
　　修正されたバージョンが公開されるまでの一時的な回避策としては、
　　JavaScript およびソフトウェアインストールを無効にすることが推奨されています。

遠隔から第三者が Firefox および Mozilla Suite を実行しているユーザの権限を取得する可能性があります。

ベンダ	リンク	更新日
Mozilla Japan	Mozilla Foundation セキュリティアドバイザリ 2005-37 "javascript:" 形式の favicon を通じたコードの実行
Red Hat	セキュリティアドバイス RHSA-2005:386 重要（Important）：Mozillaのセキュリティアップデート
SGI	SGI Security Advisory 20050501-01-U SGI Advanced Linux Environment 3 Security Update #36
ターボリナックス	Turbolinux Security Advisory TLSA-2005-49 mozilla に複数の弱点

1. US-CERT Vulnerability Note VU#973309
   Mozilla may execute JavaScript with elevated privileges when defined in site icon tag
2. ISS X-Force Database: mozilla-lambda-information-disclosure(19943)
   Mozilla and Mozilla Firefox lambda information disclosure
3. ISS X-Force Database: mozilla-installtrigger-command-execution(20123)
   Mozilla Firefox InstallTrigger command execution
4. ISS X-Force Database: mozilla-plugin-xss(20125)
   Mozilla plug-in cross-site scripting
5. ISS X-Force Database: mozilla-dom-command-execution(20133)
   Mozilla DOM node command execution
6. ISS X-Force Database: mozilla-favicons-command-execution(20134)
   Mozilla favicons allow command execution
7. ISS X-Force Database: mozilla-global-xss(20135)
   Mozilla global scope cross-site scripting
8. ISS X-Force Database: mozilla-javascript-popup-command-execution(20136)
   Mozilla javascript