Mozilla Foundation セキュリティアドバイザリ 2008-33
タイトル: ブロックリフローにおけるクラッシュとリモートコード実行
重要度: 最高
公開日: 2008/07/01
報告者: Astabis (iSIGHT Partners GVP Program)
影響を受ける製品: Firefox 2, Thunderbird 2, SeaMonkey
修正済みのバージョン: Firefox 2.0.0.15
Thunderbird 2.0.0.16
SeaMonkey 1.1.10
概要
Primary GVP Researcher の Greg McManus 氏による iSIGHT Partners GVP Program を通じて届け出があった Firefox 2 の脆弱性が、セキュリティ調査会社の Astabis によって報告されました。報告された Mozilla のブロックリフローコードにおけるクラッシュは、ブラウザをクラッシュさせ、被害者のコンピュータ上で任意のコードを実行する手段として攻撃者に利用される可能性がありました。
Firefox 3 はこの脆弱性の影響を受けません。
注意: Thunderbird は、メッセージのプレビューで JavaScript が無効になっていれば影響を受けません。デフォルト設定では無効になっており、メッセージを表示する際は JavaScript を実行させないよう強く推奨します。
回避策
修正版にアップグレードするまで JavaScript を無効にしてください。