Mozilla Foundation セキュリティアドバイザリ 2008-28
タイトル: Mac OS X 上での Java LiveConnect による任意のソケット接続
重要度: 高
公開日: 2008/07/01
報告者: Gregory Fleischer
影響を受ける製品: Firefox, SeaMonkey
修正済みのバージョン: Firefox 3.0
Firefox 2.0.0.15
SeaMonkey 1.1.10
概要
Mac OS X 版の Firefox に同梱されている Java Embedding Plugin (JEP) に Mozilla がドキュメントの生成元を通知する方法に関する脆弱性が、セキュリティ研究者の Gregory Fleischer 氏によって報告されました。この脆弱性は、悪意のある Java アプレットが同一生成元ポリシーを回避して、他のドメインに対して任意のソケット接続を確立するのに利用される可能性がありました。
回避策
修正版にアップグレードするまで JavaScript を無効にしてください。