Mozilla Foundation セキュリティアドバイザリ 2005-46
- タイトル
- JavaScript 無効時にも XBL スクリプトが実行される
- 重要度
- 低
- 報告者
- moz_bug_r_a4
- 影響を受ける製品
- Firefox
- Thunderbird
- Mozilla Suite
- 修正済みのバージョン
- Firefox 1.0.5
- Thunderbird 1.0.5
- Mozilla Suite 1.7.10
概要
Web コンテンツの XBL コントロールに含まれるスクリプトが、JavaScript が無効になっている場合にも実行されてしまいます。それ自体悪影響を及ぼすわけではありませんが、スクリプトを使ったほとんどの手口と組み合わせて、脆弱なバージョンを使いつつ JavaScript を無効にしていれば安全と考えているユーザを攻撃することが可能です。
Thunderbird と Mozilla Suite のメールクライアントでは、サービス拒否 (DoS) 攻撃やワームの被害を防ぐため JavaScript はデフォルトで無効になっていますが、この脆弱性はその保護措置を回避するのに利用される可能性があります。
回避策
- 修正済みのバージョンにアップグレードしてください。
参考資料
- https://bugzilla.mozilla.org/show_bug.cgi?id=292591
- https://bugzilla.mozilla.org/show_bug.cgi?id=292589