Mozilla Foundation セキュリティアドバイザリ 2006-70
- タイトル
- ウォッチポイントを利用した特権の昇格
- 重要度
- 最高
- 公開日
- 2006/12/19
- 報告者
- shutdown
- 影響を受ける製品
- Firefox
- Thunderbird
- SeaMonkey
- 修正済みのバージョン
- Firefox 2.0.0.1
- Firefox 1.5.0.9
- Thunderbird 1.5.0.9
- SeaMonkey 1.0.7
概要
JavaScript の watch() 関数を利用してより高度な特権を得られることが、shutdown 氏によって報告されました。この問題は、ユーザのコンピュータを侵害し、悪意のあるソフトウェアをインストールするのに利用される可能性があります。注意: Thunderbird は Firefox と同じブラウザエンジンを利用しており、JavaScript が有効になっている場合には影響を受けます。デフォルト設定では無効になっており、メールを表示する際は JavaScript を実行させないよう強く推奨します。
回避策
修正版に更新してください。Thunderbird や Seamonkey のメールクライアントでは JavaScript を有効にしないでください。
参考資料
ユーザのアップグレードが一段落するまで、実証コードやバグの詳細は公開されません。
https://bugzilla.mozilla.org/show_bug.cgi?id=354978
CVE-2006-6501