製品・ソフトウェアに関する情報

JVN脆弱性詳細

Mozilla 製品の SafeJSObjectWrapper 実装におけるクローム特権で任意の JavaScript コードを実行される脆弱性

タイトル	Mozilla 製品の SafeJSObjectWrapper 実装におけるクローム特権で任意の JavaScript コードを実行される脆弱性
概要	複数の Mozilla 製品の SafeJSObjectWrapper 実装の XPCSafeJSObjectWrapper クラスは、スコープチェーンの終端でオブジェクトを適切に制限しないため、クローム特権で任意の JavaScript コードを実行される脆弱性が存在します。
想定される影響	第三者により、クローム特権で任意の JavaScript コードを実行される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2010年9月7日0:00
登録日	2010年9月30日17:55
最終更新日	2011年5月17日8:56

影響を受けるシステム

レッドハット

Red Hat Enterprise Linux 4 (as)

Red Hat Enterprise Linux 4 (es)

Red Hat Enterprise Linux 4 (ws)

Red Hat Enterprise Linux 4.8 (as)

Red Hat Enterprise Linux 4.8 (es)

Red Hat Enterprise Linux 5 (server)

Red Hat Enterprise Linux Desktop 4.0

Red Hat Enterprise Linux Desktop 5.0 (client)

RHEL Desktop Workstation 5 (client)

オラクル

OpenSolaris

Oracle Solaris 10

Oracle Solaris 11 Express

Mozilla Foundation

Mozilla Firefox 3.6.9 未満

Mozilla Thunderbird 3.1.3 未満

サイバートラスト株式会社

Asianux Server 3 (x86)

Asianux Server 3 (x86-64)

Asianux Server 4.0

Asianux Server 4.0 (x86-64)

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2010-2762	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2762
National Vulnerability Database (NVD)
2	CVE-2010-2762	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-2762

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-264	https://jvndb.jvn.jp/ja/cwe/CWE-264.html

ベンダー情報

No	名前	URL
Asianux Technical Support Network
1	firefox-3.6.9-2.0.1.AXS3, nspr-4.8.6-1.AXS3, nss-3.12.7-2.AXS3, xulrunner-1.9.2.9-1.0.1.AXS3	https://tsn.miraclelinux.com/tsn_local/index.php?m=errata&a=detail&eid=1258
MIRACLE LINUX アップデート情報
2	2122	http://www.miraclelinux.com/support/index.php?q=node/99&errata_id=2122
3	2123	http://www.miraclelinux.com/support/index.php?q=node/99&errata_id=2123
4	2124	http://www.miraclelinux.com/support/index.php?q=node/99&errata_id=2124
Mozilla Foundation Security Advisory
5	MFSA 2010-59	http://www.mozilla.org/security/announce/2010/mfsa2010-59.html
Mozilla Foundation セキュリティアドバイザリ
6	MFSA 2010-59	http://www.mozilla-japan.org/security/announce/2010/mfsa2010-59.html
Red Hat Security Advisory
7	RHSA-2010:0681	https://rhn.redhat.com/errata/RHSA-2010-0681.html
SECURITY BLOG
8	multiple_vulnerabilities_in_mozilla_firefox	http://blogs.sun.com/security/entry/multiple_vulnerabilities_in_mozilla_firefox
9	multiple_vulnerabilities_in_mozilla_thunderbird1	http://blogs.oracle.com/sunsecurity/entry/multiple_vulnerabilities_in_mozilla_thunderbird1

その他

No	名前	URL
ISS X-Force Database
1	61656	http://xforce.iss.net/xforce/xfdb/61656
SecurityFocus
2	43092	http://www.securityfocus.com/bid/43092
VUPEN Security
3	VUPEN/ADV-2010-2323	http://www.vupen.com/english/advisories/2010/2323

変更履歴

No	変更内容	変更日
0	[2010年09月30日] 掲載 [2011年01月26日] 影響を受けるシステム：オラクル (multiple_vulnerabilities_in_mozilla_firefox) の情報を追加ベンダ情報：オラクル (multiple_vulnerabilities_in_mozilla_firefox) を追加 [2011年05月17日] 影響を受けるシステム：オラクル (multiple_vulnerabilities_in_mozilla_thunderbird1) の情報を追加ベンダ情報：オラクル (multiple_vulnerabilities_in_mozilla_thunderbird1) を追加	2018年2月17日10:37

NVD脆弱性情報

CVE-2010-2762

概要	The XPCSafeJSObjectWrapper class in the SafeJSObjectWrapper (aka SJOW) implementation in Mozilla Firefox 3.6.x before 3.6.9 and Thunderbird 3.1.x before 3.1.3 does not properly restrict objects at the end of scope chains, which allows remote attackers to execute arbitrary JavaScript code with chrome privileges via vectors related to a chrome privileged object and a chain ending in an outer object.
公表日	2010年9月10日4:00
登録日	2021年1月29日11:03
最終更新日	2024年11月21日10:17

影響を受けるソフトウェアの構成

関連情報、対策とツール

No	URL	タグ
1	http://blogs.sun.com/security/entry/multiple_vulnerabilities_in_mozilla_firefox
2	http://blogs.sun.com/security/entry/multiple_vulnerabilities_in_mozilla_firefox
3	http://lists.opensuse.org/opensuse-security-announce/2010-10/msg00002.html
4	http://lists.opensuse.org/opensuse-security-announce/2010-10/msg00002.html
5	http://secunia.com/advisories/42867
6	http://secunia.com/advisories/42867
7	http://support.avaya.com/css/P8/documents/100112690
8	http://support.avaya.com/css/P8/documents/100112690
9	http://www.mandriva.com/security/advisories?name=MDVSA-2010:173
10	http://www.mandriva.com/security/advisories?name=MDVSA-2010:173
11	http://www.mozilla.org/security/announce/2010/mfsa2010-59.html	Vendor Advisory
12	http://www.mozilla.org/security/announce/2010/mfsa2010-59.html	Vendor Advisory
13	http://www.securityfocus.com/bid/43092
14	http://www.securityfocus.com/bid/43092
15	http://www.vupen.com/english/advisories/2010/2323
16	http://www.vupen.com/english/advisories/2010/2323
17	http://www.vupen.com/english/advisories/2011/0061
18	http://www.vupen.com/english/advisories/2011/0061
19	https://bugzilla.mozilla.org/show_bug.cgi?id=584180
20	https://bugzilla.mozilla.org/show_bug.cgi?id=584180
21	https://exchange.xforce.ibmcloud.com/vulnerabilities/61656
22	https://exchange.xforce.ibmcloud.com/vulnerabilities/61656
23	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A11492
24	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A11492

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-264	認可・権限・アクセス制御	https://cwe.mitre.org/data/definitions/264.html