Mozilla Firefox 用の拡張機能である MouseoverDictionary には、任意のスクリプトが実行される脆弱性が存在します。
- バージョン0.6.1 およびそれ以前
MouseoverDictionary は、Mozilla Firefox にマウスオーバー英和辞書機能を追加する拡張機能です。この MouseoverDictionary には、サイドバーに HTML ページを出力する際の処理が不適切なため、ユーザのブラウザ上で任意のスクリプトが実行される脆弱性が存在します。
MouseoverDictionary を利用しているユーザの Mozilla Firefox 上で任意のスクリプトが実行される可能性があります。 スクリプトの内容によっては、クライアント PC 内の任意のファイルを閲覧される可能性もあります。
アップデートする
開発者の提供する最新バージョンへアップデートしてください。
- IPA
「MouseoverDictionary」において任意のスクリプトが実行される脆弱性
2007.10.12における脆弱性分析結果
| 攻撃経路 | 物理アクセス | ローカルマシン | 同一セグメント | インターネット経由 |
|---|---|---|---|---|
| 認証レベル | 特権レベル | 標準レベル | 低レベル | なし |
| 攻撃成立に必要 なユーザの関与 | 積極的 | - | 消極的 | 関与させる必要なし |
| 攻撃の難易度 | 高 | 中-高 | 低-中 | 低 |
本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCがベンダとの調整を行いました。報告者: 株式会社トライコーダ 上野 宣 氏
| JPCERT 緊急報告 | |
| JPCERT REPORT | |
| CERT Advisory | |
| CPNI Advisory | |
| TRnotes | |
| CVE |
http://jvn.jp/jp/JVN%2363304072/
全站熱搜
留言列表
