製品・ソフトウェアに関する情報

JVN脆弱性詳細

Mozilla Firefox における UI アイコンの配置を変更される脆弱性

Title	Mozilla Firefox における UI アイコンの配置を変更される脆弱性
Summary	Mozilla Firefox は、カスタマイズイベントを偽装するドラッグ＆ドロップイベントの使用を適切に制限しないため、UI アイコンの配置を変更される脆弱性が存在します。
Possible impacts	第三者により、(1) ページ、(2) パネル、または (3) ツールバーのカスタマイズ中に発生する巧妙に細工された JavaScript コードを介して、UI アイコンの配置を変更される可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	July 22, 2014, midnight
Registration Date	July 24, 2014, 3:23 p.m.
Last Update	July 24, 2014, 3:23 p.m.

Affected System

Mozilla Foundation

Mozilla Firefox 31.0 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2014-1561	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1561
National Vulnerability Database (NVD)
2	CVE-2014-1561	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1561

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-264	https://jvndb.jvn.jp/ja/cwe/CWE-264.html

ベンダー情報

No	Name	URL
Mozilla Foundation Security Advisory
1	MFSA2014-60	https://www.mozilla.org/security/announce/2014/mfsa2014-60.html
Mozilla Foundation セキュリティアドバイザリ
2	MFSA2014-60	http://www.mozilla-japan.org/security/announce/2014/mfsa2014-60.html

Change Log

No	Changed Details	Date of change
0	[2014年07月24日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2014-1561

Summary	Mozilla Firefox before 31.0 does not properly restrict use of drag-and-drop events to spoof customization events, which allows remote attackers to alter the placement of UI icons via crafted JavaScript code that is encountered during (1) page, (2) panel, or (3) toolbar customization.
Publication Date	July 23, 2014, 8:12 p.m.
Registration Date	Jan. 26, 2021, 3:07 p.m.
Last Update	Nov. 21, 2024, 11:04 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:mozilla:firefox::::::::			30.0

Configuration2		or higher	or less	more than	less than
cpe:2.3:o:oracle:solaris:11.3:::::::*

Related information, measures and tools

No	URL	タグ
1	http://secunia.com/advisories/59760
2	http://secunia.com/advisories/59760
3	http://secunia.com/advisories/60628
4	http://secunia.com/advisories/60628
5	http://www.mozilla.org/security/announce/2014/mfsa2014-60.html	Vendor Advisory
6	http://www.mozilla.org/security/announce/2014/mfsa2014-60.html	Vendor Advisory
7	http://www.oracle.com/technetwork/topics/security/bulletinapr2016-2952098.html	Third Party Advisory
8	http://www.oracle.com/technetwork/topics/security/bulletinapr2016-2952098.html	Third Party Advisory
9	http://www.securitytracker.com/id/1030619
10	http://www.securitytracker.com/id/1030619
11	https://bugzilla.mozilla.org/show_bug.cgi?id=1000514	Issue Tracking
12	https://bugzilla.mozilla.org/show_bug.cgi?id=1000514	Issue Tracking
13	https://bugzilla.mozilla.org/show_bug.cgi?id=910375	Issue Tracking
14	https://bugzilla.mozilla.org/show_bug.cgi?id=910375	Issue Tracking
15	https://security.gentoo.org/glsa/201504-01
16	https://security.gentoo.org/glsa/201504-01

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-264	認可・権限・アクセス制御	https://cwe.mitre.org/data/definitions/264.html