製品・ソフトウェアに関する情報

JVN脆弱性詳細

複数の Mozilla 製品の Math.random 関数におけるユーザを追跡される脆弱性

Title	複数の Mozilla 製品の Math.random 関数におけるユーザを追跡される脆弱性
Summary	複数の Mozilla 製品の JavaScript 実装内にある Math.random 関数は、ドキュメントのオブジェクトごとに一度だけ実行されるランダム数値生成コードを使用しているため、シード値を計算されることにより、ユーザを追跡される、または偽装したポップアップメッセージを作動させユーザをだます脆弱性が存在します。本脆弱性は、CVE-2008-5913 に対する誤った修正が原因です。
Possible impacts	第三者により、シード値を計算され、ユーザを追跡される、または偽装したポップアップメッセージが作動させられ、ユーザがだまされる可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	June 22, 2010, midnight
Registration Date	Jan. 20, 2011, 1:51 p.m.
Last Update	Jan. 20, 2011, 1:51 p.m.

Affected System

オラクル

Oracle Solaris 10

Oracle Solaris 11 Express

Mozilla Foundation

Mozilla Firefox 3.5.10 から 3.5.11

Mozilla Firefox 3.6.4 から 3.6.8

Mozilla SeaMonkey 2.0.5 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2010-3171	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3171
National Vulnerability Database (NVD)
2	CVE-2010-3171	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-3171

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-310	https://jvndb.jvn.jp/ja/cwe/CWE-310.html

ベンダー情報

No	Name	URL
Mozilla Foundation Security Advisory
1	MFSA2010-33	http://www.mozilla.org/security/announce/2010/mfsa2010-33.html
Mozilla Foundation セキュリティアドバイザリ
2	MFSA2010-33	http://www.mozilla-japan.org/security/announce/2010/mfsa2010-33.html
SECURITY BLOG
3	multiple_vulnerabilities_in_mozilla_firefox	http://blogs.sun.com/security/entry/multiple_vulnerabilities_in_mozilla_firefox

その他

No	Name	URL
SecurityFocus
1	43222	http://www.securityfocus.com/bid/43222

Change Log

No	Changed Details	Date of change
0	[2011年01月20日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2010-3171

Summary	The Math.random function in the JavaScript implementation in Mozilla Firefox 3.5.10 through 3.5.11, 3.6.4 through 3.6.8, and 4.0 Beta1 uses a random number generator that is seeded only once per document object, which makes it easier for remote attackers to track a user, or trick a user into acting upon a spoofed pop-up message, by calculating the seed value, related to a "temporary footprint" and an "in-session phishing attack." NOTE: this vulnerability exists because of an incorrect fix for CVE-2008-5913.
Publication Date	Sept. 16, 2010, 5 a.m.
Registration Date	Jan. 29, 2021, 11:05 a.m.
Last Update	Nov. 21, 2024, 10:18 a.m.

Affected software configurations

Related information, measures and tools

No	URL	タグ
1	http://archives.neohapsis.com/archives/bugtraq/2010-09/0117.html
2	http://archives.neohapsis.com/archives/bugtraq/2010-09/0117.html
3	http://blogs.sun.com/security/entry/multiple_vulnerabilities_in_mozilla_firefox
4	http://blogs.sun.com/security/entry/multiple_vulnerabilities_in_mozilla_firefox
5	http://secunia.com/advisories/42867
6	http://secunia.com/advisories/42867
7	http://www.securityfocus.com/bid/43222	Exploit
8	http://www.securityfocus.com/bid/43222	Exploit
9	http://www.trusteer.com/sites/default/files/Cross_domain_Math_Random_leakage_in_FF_3.6.4-3.6.8.pdf	Exploit
10	http://www.trusteer.com/sites/default/files/Cross_domain_Math_Random_leakage_in_FF_3.6.4-3.6.8.pdf	Exploit
11	http://www.vupen.com/english/advisories/2011/0061
12	http://www.vupen.com/english/advisories/2011/0061
13	https://bugzilla.mozilla.org/show_bug.cgi?id=577512
14	https://bugzilla.mozilla.org/show_bug.cgi?id=577512
15	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A7370
16	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A7370

Common Vulnerabilities List