blob: c80d4a83140234f29d447b7558627d940a9aca9d (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
|
#use wml::debian::translation-check translation="793ef2aaf7ac1e7953d45aed262afca75ae7986e"
<define-tag description>複数の脆弱性</define-tag>
<define-tag moreinfo>
<p>DSA 779-1 での Mozilla Firefox
の更新では、残念ながらリグレッションを複数発生させてしまいました。
どう見ても通常のバックポート方法は使えないため、この更新は基本的にはバージョン
1.0.6 ですが、バージョン番号には元の 1.0.4-* が付けられます。
参考までに前の勧告を再掲します。</p>
<blockquote>
<p>複数の問題が Mozilla ベースの軽量ウェブブラウザ Mozilla Firefox
に発見されました。The Common Vulnerabilities and Exposures project
は以下の問題を認識しています:</p>
<ul>
<li><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2260">CAN-2005-2260</a>
<p>ブラウザユーザインターフェイスが、ユーザにより生成されたイベントと\
信用できない模造のイベントを適切に区別していません。このことで、
通常はユーザの手による操作によってのみ実行可能な危険な動作を\
リモートの攻撃者が実施することが容易になります。</p></li>
<li><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2261">CAN-2005-2261</a>
<p>javascript が無効にされていても XML スクリプトを実行していました。</p></li>
<li><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2262">CAN-2005-2262</a>
<p>javascript URL を壁紙として使用することにより、ユーザを欺いて任意の
javascript コードを実行させることが可能です。</p></li>
<li><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2263">CAN-2005-2263</a>
<p>リモートの攻撃者が別のドメインのコンテキスト (つまりフレーム)
で callback 関数を実行することが可能です。</p></li>
<li><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2264">CAN-2005-2264</a>
<p>悪意のあるリンクをサイドバーで開くことにより、
リモートの攻撃者が機密情報を盗聴することが可能です。</p></li>
<li><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2265">CAN-2005-2265</a>
<p>InstallVersion.compareTo() の入力のサニタイジング欠落により、
アプリケーションのクラッシュを引き起こす可能性があります。</p></li>
<li><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2266">CAN-2005-2266</a>
<p>リモートの攻撃者が異質なフレーム内でデータにアクセスすることにより、
クッキーやパスワード等の機密情報をウェブサイトから盗聴することが可能です。</p></li>
<li><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2267">CAN-2005-2267</a>
<p>javascript: URL を開くのに Flash や QuickTime
等の単体のアプリケーションを使用することにより、
リモートの攻撃者は機密情報の盗聴や、潜在的には任意のコードの実行が可能です。</p></li>
<li><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2268">CAN-2005-2268</a>
<p>javascript ダイアログボックスを偽装して、
信頼しているサイトからのダイアログボックスのように見せかけ、フィッシング
(phishing) 攻撃を助長することが可能です。</p></li>
<li><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2269">CAN-2005-2269</a>
<p>リモートの攻撃者が DOM ノードの特定のタグプロパティを変更することが可能です。
任意のスクリプトやコードの実行につながる可能性があります。</p></li>
<li><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2270">CAN-2005-2270</a>
<p>Mozilla ブラウザファミリはベースオブジェクトを適切に複製していません。
リモートの攻撃者は任意のコードの実行が可能です。</p></li>
</ul>
</blockquote>
<p>旧安定版 (old stable) ディストリビューション
(woody) にはこの問題は影響しません。</p>
<p>安定版 (stable) ディストリビューション (sarge)
では、この問題はバージョン 1.0.4-2sarge3 で修正されています。</p>
<p>不安定版 (unstable) ディストリビューション (sid)
では、この問題はバージョン 1.0.6-1 で修正されています。</p>
<p>直ちに Mozilla Firefox パッケージをアップグレードすることを勧めます。</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2005/dsa-779.data"
|