Mozilla Foundation セキュリティアドバイザリ 2008-18
- タイトル
- LiveConnect を通じた、任意のローカルポートへの Java ソケット接続
- 重要度
- 高
- 公開日
- 2008/03/25
- 報告者
- Gregory Fleischer 氏
- 影響を受ける製品
- Firefox
- Thunderbird
- SeaMonkey
- 修正済みのバージョン
- Firefox 2.0.0.13
- Thunderbird 2.0.0.13
- SeaMonkey 1.1.9
概要
jar: プロトコルを通じて取得された Web コンテンツが、LiveConnect 経由で Java を用いて、ユーザのマシン (ローカルホスト) 上の任意のポートに対してソケット接続を開けることが、セキュリティ研究者の Gregory Fleischer 氏によって実証されました。この問題は、ブラウザから Java プラグインに渡されるコンテンツ生成元が不適切にパースされるによって引き起こされるものでした。そのようなコンテンツは、null 値のホストを持つかのように誤って評価され、ローカルファイルであるかのように誤認識され、以後ローカルホストへの接続許可を得てしまっていました。この問題が修正された Java Runtime Environment (JRE) が Sun から公開されました。Mozilla 側でも、最新の JRE をインストールしていないユーザを保護するため、LiveConnect 機能に修正を加えました。
回避策
修正版をインストールするまで JRE を無効にしてください。または、Sun のアドバイザリに記載されている修正版のいずれか (1.6.0_05、1.5.0_15、1.4.2_17) に更新してください。