製品・ソフトウェアに関する情報

JVN脆弱性詳細

複数の Mozilla 製品の Math.random 関数におけるユーザを追跡される脆弱性

タイトル	複数の Mozilla 製品の Math.random 関数におけるユーザを追跡される脆弱性
概要	複数の Mozilla 製品の JavaScript 実装内にある Math.random 関数は、ドキュメントのオブジェクトごとに一度だけ実行されるランダム数値生成コードを使用しているため、シード値を計算されることにより、ユーザを追跡される、または偽装したポップアップメッセージを作動させユーザをだます脆弱性が存在します。本脆弱性は、CVE-2008-5913 に対する誤った修正が原因です。
想定される影響	第三者により、シード値を計算され、ユーザを追跡される、または偽装したポップアップメッセージが作動させられ、ユーザがだまされる可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2010年6月22日0:00
登録日	2011年1月20日13:51
最終更新日	2011年1月20日13:51

影響を受けるシステム

オラクル

Oracle Solaris 10

Oracle Solaris 11 Express

Mozilla Foundation

Mozilla Firefox 3.5.10 から 3.5.11

Mozilla Firefox 3.6.4 から 3.6.8

Mozilla SeaMonkey 2.0.5 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2010-3171	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3171
National Vulnerability Database (NVD)
2	CVE-2010-3171	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-3171

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-310	https://jvndb.jvn.jp/ja/cwe/CWE-310.html

ベンダー情報

No	名前	URL
Mozilla Foundation Security Advisory
1	MFSA2010-33	http://www.mozilla.org/security/announce/2010/mfsa2010-33.html
Mozilla Foundation セキュリティアドバイザリ
2	MFSA2010-33	http://www.mozilla-japan.org/security/announce/2010/mfsa2010-33.html
SECURITY BLOG
3	multiple_vulnerabilities_in_mozilla_firefox	http://blogs.sun.com/security/entry/multiple_vulnerabilities_in_mozilla_firefox

その他

No	名前	URL
SecurityFocus
1	43222	http://www.securityfocus.com/bid/43222

変更履歴

No	変更内容	変更日
0	[2011年01月20日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2010-3171

概要	The Math.random function in the JavaScript implementation in Mozilla Firefox 3.5.10 through 3.5.11, 3.6.4 through 3.6.8, and 4.0 Beta1 uses a random number generator that is seeded only once per document object, which makes it easier for remote attackers to track a user, or trick a user into acting upon a spoofed pop-up message, by calculating the seed value, related to a "temporary footprint" and an "in-session phishing attack." NOTE: this vulnerability exists because of an incorrect fix for CVE-2008-5913.
公表日	2010年9月16日5:00
登録日	2021年1月29日11:05
最終更新日	2024年11月21日10:18

影響を受けるソフトウェアの構成

関連情報、対策とツール

No	URL	タグ
1	http://archives.neohapsis.com/archives/bugtraq/2010-09/0117.html
2	http://archives.neohapsis.com/archives/bugtraq/2010-09/0117.html
3	http://blogs.sun.com/security/entry/multiple_vulnerabilities_in_mozilla_firefox
4	http://blogs.sun.com/security/entry/multiple_vulnerabilities_in_mozilla_firefox
5	http://secunia.com/advisories/42867
6	http://secunia.com/advisories/42867
7	http://www.securityfocus.com/bid/43222	Exploit
8	http://www.securityfocus.com/bid/43222	Exploit
9	http://www.trusteer.com/sites/default/files/Cross_domain_Math_Random_leakage_in_FF_3.6.4-3.6.8.pdf	Exploit
10	http://www.trusteer.com/sites/default/files/Cross_domain_Math_Random_leakage_in_FF_3.6.4-3.6.8.pdf	Exploit
11	http://www.vupen.com/english/advisories/2011/0061
12	http://www.vupen.com/english/advisories/2011/0061
13	https://bugzilla.mozilla.org/show_bug.cgi?id=577512
14	https://bugzilla.mozilla.org/show_bug.cgi?id=577512
15	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A7370
16	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A7370

共通脆弱性一覧