Mozilla Foundation セキュリティアドバイザリ 2006-59
- タイトル
- 並列処理に関する脆弱性
- 重要度
- 最高
- 公開日
- 2006/09/14
- 報告者
- Jonathan Watt、Michal Zalewski
- 影響を受ける製品
- Firefox
- Thunderbird
- SeaMonkey
- 修正済みのバージョン
- Firefox 1.5.0.7
- Thunderbird 1.5.0.7
- SeaMonkey 1.0.5
概要
テキストの表示中に同じ場所でクラッシュを引き起こす、タイミングに依存したテストケースが、Jonathan Watt 氏と Michal Zalewski 氏によって個別に報告されました。これらのクラッシュが確実に攻撃に利用されうることを示す実証コードは提供されていませんが、メモリ破壊の形跡が見られるため、可能性はあると考えられます。
注意: Thunderbird は Firefox と同じブラウザエンジンを利用しており、JavaScript が有効になっている場合には影響を受けます。デフォルト設定では無効になっており、メールを表示する際は JavaScript を実行させないよう強く推奨します。
回避策
修正版にアップグレードするまで JavaScript を無効にしてください。Thunderbird などのメールクライアントでは JavaScript を有効にしないでください。
参考資料
https://bugzilla.mozilla.org/show_bug.cgi?id=345071
https://bugzilla.mozilla.org/show_bug.cgi?id=348514
CVE-2006-4253