Mozilla Foundation セキュリティアドバイザリ
このページでは、Mozilla Foundation が発表した、全製品のセキュリティアドバイザリをまとめています。製品やバージョンごとの内訳については 既知の脆弱性 のページをご覧ください。
重要度の区分け:
- 最高: 任意のコードを実行したり、ソフトウェアをインストールすることが可能な脆弱性で、通常のブラウジングの範囲を超えるユーザの操作を必要としないもの
- 高: ユーザが訪れた他のサイトから機密データを集めたり、それらのサイトにデータやコードを注入することが可能な脆弱性で、通常のブラウジングの範囲を超えるユーザの操作を必要としないもの
- 中: デフォルトではない特殊な設定を行った場合のみ攻撃可能であったり、複雑な操作や思いも寄らない手順を必要とする点を除けば、「高」または「最高」に分類されるであろう脆弱性
- 低: サービス妨害 (DoS) 攻撃、少量のデータの漏えい、なりすましなど、比較的重要でないセキュリティ脆弱性 (SSL 利用サイトの検知不可能な偽装は、たいていの場合、他のサイトで入力されるはずの機密データを盗み取るために利用されるため、「高」に分類されます)
2008 年 4 月 16 日
- MFSA 2008-20
- JavaScript ガベージコレクタにおけるクラッシュ
- MFSA 2008-19
- XUL ポップアップ偽装の応用版 (タブを超えたポップアップ)
- MFSA 2008-18
- LiveConnect を通じた、任意のローカルポートへの Java ソケット接続
- MFSA 2008-17
- SSL クライアント認証に関するプライバシー問題
- MFSA 2008-16
- 不正な URL を用いた HTTP Referrer の偽装
- MFSA 2008-15
- メモリ破壊の形跡があるクラッシュ (rv:1.8.1.13)
- MFSA 2008-14
- JavaScript の特権昇格と任意のコード実行
- MFSA 2008-13
- 文字エンコーディングに起因する複数の XSS 脆弱性
- MFSA 2008-12
- 外部 MIME ボディ内のヒープバッファオーバーフロー
- MFSA 2008-07
- BMP デコーダ内の潜在的な情報漏えい
- MFSA 2008-11
- div オーバーレイによるフィッシング詐欺警告の上書き
- MFSA 2008-10
- スタイルシートのリダイレクトを利用した URL トークンの読み取り
- MFSA 2008-09
- ローカルに保存されたプレーンテキストファイルの誤処理
- MFSA 2008-08
- ファイル処理ダイアログの改ざん
- MFSA 2008-06
- ブラウジング履歴と前方ナビゲーションの読み取り
- MFSA 2008-05
- chrome: URI を通じたディレクトリトラバーサル
- MFSA 2008-04
- 保存されたパスワードの破損
- MFSA 2008-03
- 特権昇格、XSS、リモートコードの実行
- MFSA 2008-02
- ファイル入力フォーカスの横取りに関する複数の脆弱性
- MFSA 2008-01
- メモリ破壊の形跡があるクラッシュ (rv:1.8.1.12)
- MFSA 2007-40
- Thunderbird 1.5.0.13 への自動更新に MFSA 2007-23 の修正が含まれていない
- MFSA 2007-39
- window.location の競合を通じたリファラ偽装
- MFSA 2007-38
- メモリ破壊の形跡があるクラッシュ (rv:1.8.1.10)
- MFSA 2007-37
- jar: URL スキーマによる XSS 問題
- MFSA 2007-36
- 不正に % エンコードされた URI が Windows によって誤って処理される
- MFSA 2007-35
- Script オブジェクトを通じた XPCNativeWraper 汚染
- MFSA 2007-34
- SFTP プロトコルを通じた潜在的なファイル漏えい
- MFSA 2007-33
- XUL ページによるウィンドウタイトルバーの隠ぺい
- MFSA 2007-32
- ファイル入力フォーカスの横取り
- MFSA 2007-31
- ダイジェスト認証リクエストの分割
- MFSA 2007-30
- onUnload イベントハンドラの「共連れ」
- MFSA 2007-29
- メモリ破壊の形跡があるクラッシュ (rv:1.8.1.8)
- MFSA 2007-28
- QuickTime のメディアリンクファイルを通じたコードの実行
- MFSA 2007-27
- エスケープされていない URI が外部プログラムに渡される
- MFSA 2007-26
- クロームによって読み込まれた about:blank ウィンドウを通じた特権昇格
- MFSA 2007-25
- XPCNativeWrapper 汚染
- MFSA 2007-24
- 「wyciwyg://」ドキュメントへの不正アクセス
- MFSA 2007-23
- Internet Explorer を通じた Firefox の起動を利用したリモートコードの実行
- MFSA 2007-22
- ファイル名に含まれる %00 によるファイルタイプの混同
- MFSA 2007-21
- ドキュメント上にない要素に付随するイベントハンドラを利用した特権昇格
- MFSA 2007-20
- ウィンドウ読み込み中のフレーム偽装
- MFSA 2007-19
- addEventListener および setTimeout を利用したクロスサイトスクリプティング
- MFSA 2007-18
- メモリ破壊の形跡があるクラッシュ (rv:1.8.1.5)
- MFSA 2007-17
- XUL ポップアップの偽装
- MFSA 2007-16
- addEventListener を利用したクロスサイトスクリプティング
- MFSA 2007-15
- APOP 認証に関するセキュリティ脆弱性
- MFSA 2007-14
- Cookie パスの不正利用
- MFSA 2007-13
- 永続的な自動補完によるサービス妨害
- MFSA 2007-12
- メモリ破壊の形跡があるクラッシュ (rv:1.8.0.12/1.8.1.4)
- MFSA 2007-11
- FTP PASV コマンドによるポートスキャン
- MFSA 2007-10
- 「text/enhanced」形式のメールによる潜在的な整数オーバーフロー
- MFSA 2007-09
- img.src に「javascript:」形式の URI を設定することによる特権昇格
- MFSA 2007-08
- onUnload と document.write() の組み合わせによって生じるメモリ破壊
- MFSA 2007-07
- location.hostname に埋め込まれた null 文字によって同一ドメインチェックが回避される
- MFSA 2007-06
- Mozilla Network Security Services (NSS) SSLv2 のバッファオーバーフロー
- MFSA 2007-05
- ブロックされたポップアップを開くことによる XSS とローカルファイルへのアクセス
- MFSA 2007-04
- 任意のカーソルと CSS3 hotspot を利用したなりすまし
- MFSA 2007-03
- キャッシュの衝突を通じた情報漏えい
- MFSA 2007-02
- クロスサイトスクリプティング攻撃からの保護の強化
- MFSA 2007-01
- メモリ破壊の形跡があるクラッシュ (rv:1.8.0.10/1.8.1.2)
- MFSA 2006-76
- outer window の Function オブジェクトを利用したクロスサイトスクリプティング
- MFSA 2006-75
- RSS フィードプレビューによるリファラ漏えい
- MFSA 2006-74
- メールヘッダの処理に起因するヒープオーバーフロー
- MFSA 2006-73
- SVG 処理に起因するリモートコード実行
- MFSA 2006-72
- 「javascript:」形式の URI を img.src に設定することによるクロスサイトスクリプティング
- MFSA 2006-71
- JavaScript オブジェクトを終了させる LiveConnect のクラッシュ
- MFSA 2006-70
- ウォッチポイントを利用した特権の昇格
- MFSA 2006-69
- CSS のカーソル画像に起因するバッファオーバーフロー (Windows のみ)
- MFSA 2006-68
- メモリ破壊の形跡があるクラッシュ (rv:1.8.0.9/1.8.1.1)
- MFSA 2006-67
- 実行されたスクリプトの再コンパイル
- MFSA 2006-66
- RSA 署名の偽造 (変異型)
- MFSA 2006-65
- メモリ破壊の形跡があるクラッシュ (rv:1.8.0.8)
- MFSA 2006-64
- メモリ破壊の形跡があるクラッシュ (rv:1.8.0.7)
- MFSA 2006-63
- XBL を通じたメール内での JavaScript 実行
- MFSA 2006-62
- ポップアップブロック機能を通じたクロスサイトスクリプティング (XSS)
- MFSA 2006-61
- document.open() を使ったフレームのなりすまし
- MFSA 2006-60
- RSA 署名の偽造
- MFSA 2006-59
- 並列処理に関する脆弱性
- MFSA 2006-58
- DNS と SSL のなりすましを通じた自動更新の乗っ取り
- MFSA 2006-57
- JavaScript 正規表現によるヒープ破壊
- MFSA 2006-56
- 「chrome:」スキーマによるリモートコンテンツの読み込み
- MFSA 2006-55
- メモリ破壊の形跡があるクラッシュ (rv:1.8.0.5)
- MFSA 2006-54
- XPCNativeWrapper(window).Function(...) を使ったクロスサイトスクリプティング
- MFSA 2006-53
- UniversalBrowserRead を使った特権の昇格
- MFSA 2006-52
- Function.prototype.call を使った PAC の特権の昇格
- MFSA 2006-51
- 名前付き関数と再定義された「new Object()」を使った特権の昇格
- MFSA 2006-50
- JavaScript エンジンに関する脆弱性
- MFSA 2006-49
- 不正な VCard 上でのヒープバッファオーバーライト
- MFSA 2006-48
- JavaScript の新たな Function の競合
- MFSA 2006-47
- ドメインを超えたネイティブ DOM メソッドの乗っ取り
- MFSA 2006-46
- イベントの同時発生によるメモリ破壊
- MFSA 2006-45
- Javascript の navigator オブジェクトに関する脆弱性
- MFSA 2006-44
- 削除済みフレームへの参照を通じたコード実行
- MFSA 2006-43
- addSelectionListener を使った特権の昇格
- MFSA 2006-42
- UTF-8 ページで BOM を使ったクロスサイトスクリプティング
- MFSA 2006-41
- input type の変更によるファイルの読み取り (応用版)
- MFSA 2006-40
- 不正な vCard 上でのダブルフリー
- MFSA 2006-39
- 「画像を表示」によるローカルリソースへのリンク (Windows)
- MFSA 2006-38
- crypto.signText() 内でのバッファオーバーフロー
- MFSA 2006-37
- オブジェクトのプロトタイプ上でのコンテンツ定義セッターを通じた情報漏えい
- MFSA 2006-36
- PLUGINSPAGE 属性を利用したスクリプトの実行 (2)
- MFSA 2006-35
- XUL の persist 属性を利用した特権の昇格
- MFSA 2006-34
- 「javascript:」形式の URL を持ったフレームや画像によるクロスサイトスクリプティング
- MFSA 2006-33
- HTTP レスポンスの不正な挿入
- MFSA 2006-32
- 潜在的なメモリ破壊を伴うクラッシュの修正 (rv:1.8.0.4)
- MFSA 2006-31
- EvalInSandbox の回避 (プロキシ自動設定と Greasemonkey)
- MFSA 2006-30
- designMode 有効時の削除済みオブジェクトの参照
- MFSA 2006-27
- テーブル再構築によるコードの実行
- MFSA 2006-21
- インライン転送時のメッセージ内での JavaScript 実行
- MFSA 2006-29
- 透過ウィンドウを使ったなりすまし
- MFSA 2006-28
- js_ValueToFunctionObject() のセキュリティチェックが回避可能
- MFSA 2006-26
- メールに関する複数の情報漏えい
- MFSA 2006-25
- 印刷プレビューを通じた特権の昇格
- MFSA 2006-24
- crypto.generateCRMFRequest を使った特権の昇格
- MFSA 2006-23
- input type の変更によるファイルの読み取り
- MFSA 2006-22
- CSS の letter-spacing に関するヒープオーバーフロー
- MFSA 2006-20
- メモリ破壊の形跡があるクラッシュ (rv:1.8.0.2)
- MFSA 2006-19
- valueOf.call() を使ったクロスサイトスクリプティング
- MFSA 2006-18
- Mozilla Firefox のタグの順序に関する脆弱性
- MFSA 2006-17
- window.controllers を通じたクロスサイトスクリプティング
- MFSA 2006-16
- valueOf.call() を通じた XBL コンパイル範囲へのアクセス
- MFSA 2006-15
- JavaScript 関数のクローン親を使った特権の昇格
- MFSA 2006-14
- XBL.method.eval を通じた特権の昇格
- MFSA 2006-13
- 「名前を付けて画像を保存」を使った実行ファイルのダウンロード
- MFSA 2006-12
- 安全なサイトの偽装 (セキュリティ警告ダイアログの表示あり)
- MFSA 2006-11
- メモリ破壊の形跡があるクラッシュ (rv:1.8)
- MFSA 2006-10
- JavaScript ガーベジコレクションの危険性監査
- MFSA 2006-09
- イベントハンドラを使ったクロスサイト JavaScript インジェクション
- MFSA 2006-08
- 「AnyName」による同調とアクセスコントロールの脆弱性
- MFSA 2006-07
- XML のパース中にバッファが読み出される
- MFSA 2006-06
- E4X、SVG、Canvas における整数オーバーフロー
- MFSA 2006-05
- XULDocument.persist() を使った Localstore.rdf への XML インジェクション
- MFSA 2006-04
- Location および Navigator オブジェクト上での QueryInterface を使ったメモリ破壊
- MFSA 2006-03
- 長いページタイトルによって起動時のサービス妨害が生じる
- MFSA 2006-02
- position プロパティの値を relative から static に変更するとメモリ破壊が生じる
- MFSA 2006-01
- JavaScript ガベージコレクションの脆弱性
- MFSA 2005-59
- コマンドライン処理を通じたシェルの実行 (Linux 版のみ)
- MFSA 2005-58
- Firefox 1.0.7 および Mozilla Suite 1.7.12 で修正された複数の脆弱性
- MFSA 2005-57
- ソフトハイフンを利用した IDN 処理過程におけるヒープオーバーラン
- MFSA 2005-56
- 共通関数オブジェクトを通じたコードの実行
- MFSA 2005-55
- XHTML ノードの偽装
- MFSA 2005-54
- JavaScript プロンプト生成元の偽装
- MFSA 2005-53
- スタンドアロンアプリケーションからブラウザを通じて任意のコードが実行される
- MFSA 2005-52
- 同一生成元違反: フレームが top.focus() を呼び出し可能
- MFSA 2005-51
- フレームへのコンテンツ注入によるサイト偽装の再発
- MFSA 2005-50
- 攻撃に利用される可能性のある InstallVersion.compareTo によるクラッシュ
- MFSA 2005-49
- 「data:」形式の URL を通じたサイドバーパネルからのスクリプト注入
- MFSA 2005-48
- InstallTrigger コールバックによる同一生成元違反
- MFSA 2005-47
- 「壁紙として設定」機能を通じたコードの実行
- MFSA 2005-46
- JavaScript 無効時にも XBL スクリプトが実行される
- MFSA 2005-45
- コンテンツ生成イベントに関する脆弱性
- MFSA 2005-44
- 非 DOM プロパティの上書きを通じた特権の昇格
- MFSA 2005-43
- “内包された”「javascript:」形式の URL によってセキュリティチェックがバイパスされる
- MFSA 2005-42
- 「javascript:」形式の iconURL を通じたコードの実行
- MFSA 2005-41
- DOM プロパティの上書きを通じた特権の昇格
- MFSA 2005-40
- インストールオブジェクトのインスタンスチェック欠落
- MFSA 2005-39
- Firefox のサイドバーパネルを通じて任意のコードが実行される (2)
- MFSA 2005-38
- 検索プラグインを通じたクロスサイトスクリプティング
- MFSA 2005-37
- 「javascript:」形式の favicon を通じたコードの実行
- MFSA 2005-36
- グローバルスコープ汚染を通じたクロスサイトスクリプティング
- MFSA 2005-35
- ブロックされた「javascript:」形式のポップアップを表示する際に、誤った特権付きコンテキストが用いられる
- MFSA 2005-34
- PLUGINSPAGE 属性を利用した特権付きスクリプトの実行
- MFSA 2005-33
- JavaScript の「ラムダ」置き換えにより、メモリの内容が読み出される
- MFSA 2005-32
- ドラッグ&ドロップによって特権付き XUL ファイルが読み込まれる
- MFSA 2005-31
- Firefox のサイドバーパネルを通じて任意のコードが実行される
- MFSA 2005-30
- Netscape Extension 2 を含む GIF 画像の処理過程でヒープオーバーフローが生じる
- MFSA 2005-29
- 国際化ドメイン名 (IDN) の同形異義語偽装
- MFSA 2005-28
- 安全でない /tmp/plugtmp ディレクトリがユーザファイルの削除に利用される
- MFSA 2005-27
- プラグインが特権付きコンテンツの読み込みに利用される
- MFSA 2005-26
- 「javascript:」形式のリンクをタブ上へドロップすることでクロスサイトスクリプティングが生じる
- MFSA 2005-25
- 画像のドラッグ&ドロップによる実行可能ファイルの偽装
- MFSA 2005-24
- HTTP 認証プロンプトによるタブの偽装
- MFSA 2005-23
- ダウンロードダイアログに表示されるダウンロード元 URL の偽装
- MFSA 2005-22
- Content-Disposition ヘッダを使ったダウンロードダイアログの偽装
- MFSA 2005-21
- .lnk ファイルを 2 回ダウンロードすることで任意のファイルが上書きされる
- MFSA 2005-20
- XSLT が任意のホストからスタイルシートを取り込める
- MFSA 2005-19
- 自動補完データの漏えい
- MFSA 2005-18
- 文字列ライブラリにおけるメモリ上書き
- MFSA 2005-17
- 「ユーザ名:パスワード@ホスト名」を使ったダウンロード元 URL の偽装
- MFSA 2005-16
- ウィンドウの重ね合わせによるダウンロード・セキュリティダイアログの偽装
- MFSA 2005-15
- UTF-8 から Unicode への変換過程でヒープオーバーフローが生じる
- MFSA 2005-14
- SSL を示す「安全なサイト」表示の偽装
- MFSA 2005-13
- ウィンドウへのコンテンツ注入によるなりすまし
- MFSA 2005-12
- 「javascript:」形式のライブブックマークによって Cookie が盗み取られる
- MFSA 2005-11
- メールクライアントが Cookie の要求に応じる
- MFSA 2005-10
- 「javascript:」形式のリンクによって Internet Explorer が起動される
- MFSA 2005-09
- ブラウザが非プロキシサーバ (SSL/HTTPS) からのプロキシ認証にも応じる
- MFSA 2005-08
- 意図的に発生させられた中クリックイベントによってクリップボードの内容が盗み取られる
- MFSA 2005-07
- スクリプトによって発生させられたイベントによって確認なしにダウンロードが行われる
- MFSA 2005-06
- 悪質な「news:」形式の URL を処理する過程でヒープオーバーランが生じる
- MFSA 2005-05
- 他のタブから入力内容が盗み取られる
- MFSA 2005-04
- 「view-source:」形式の URL を使って安全なサイトの鍵アイコンが偽装される
- MFSA 2005-03
- バイナリファイルのダウンロードによって安全なサイトを示す鍵アイコンが偽装される
- MFSA 2005-02
- 添付ファイルが一時的に誰でも読み取り可能な状態で保存される
- MFSA 2005-01
- 新しいタブに開かれたリンクによってローカルファイルが読み込まれる