Mozilla Foundation セキュリティアドバイザリ 2009-55

タイトル: プロキシ自動設定の正規表現解析におけるクラッシュ
重要度:
公開日: 2009/10/27
報告者: Marco C.
影響を受ける製品: Firefox、SeaMonkey

修正済みのバージョン: Firefox 3.5.4
  Firefox 3.0.15
  SeaMonkey 2.0

概要

プロキシ自動設定 (PAC) ファイルで使用される正規表現の解析時に発生する脆弱性が、セキュリティ研究者の Marco C. 氏によって報告されました。特定の状況では、この問題は攻撃者が被害者のブラウザをクラッシュさせ、それらのコンピュータ上で任意のコードを実行するのに悪用されるおそれがありました。この脆弱性は、被害者がブラウザのオプションで PAC を設定しており、さらにクラッシュを引き起こす特定の正規表現がその PAC ファイルに書かれていることが条件となるため、問題の重要度は「中」と判断されました。

回避策

修正版にアップグレードするまで JavaScript を無効にしてください。

参考資料