【影響を受けるとされているシステム】

影響を受ける可能性が報告されているのは次の通りです。

• Firefox 18.0未満のバージョン
• Firefox ESR 17.0.2未満のバージョン
• Thunderbird 17.0.2未満のバージョン
• Thunderbird ESR 17.0.2未満のバージョン
• SeaMonkey 2.15未満のバージョン

【対策案】

Mozillaプロジェクトより、この脆弱性を修正するバージョンがリリースされています。当該脆弱性が修正された最新のバージョンにアップデートしていただくことを推奨いたします。

Firefoxのダウンロードサイト
http://www.mozilla.jp/firefox/

【参考サイト】

CVE-2013-0757
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0757

Mozilla Foundation セキュリティアドバイザリ 2013-14
https://www.mozilla.org/en-US/security/advisories/mfsa2013-14/

JVNDB-2013-001073 - JVN iPedia - 脆弱性対策情報データベース
http://jvndb.jvn.jp/ja/contents/2013/JVNDB-2013-001073.html

CVE-2013-0758
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-07578

Mozilla Foundation セキュリティアドバイザリ 2013-15
https://www.mozilla.org/en-US/security/advisories/mfsa2013-15/

JVNDB-2013-001079 - JVN iPedia - 脆弱性対策情報データベース
http://jvndb.jvn.jp/ja/contents/2013/JVNDB-2013-001079.html

【検証イメージ】

【検証ターゲットシステム】

• Windows 7 上のFirefox 17.0.1

【検証概要】

ターゲットシステム上で、攻撃者が作成したWebページを閲覧させることで、攻撃コードを実行させます。それによって、ターゲットシステムにおいて任意のコードを実行させます。
ターゲットシステムは、攻撃者が用意したホストに制御が誘導されます。
今回の検証に用いたコードは、ターゲットシステム上から特定のサーバ、ポートへコネクションを確立させるよう誘導し、システムの制御を奪取するものです。
これにより、リモートからターゲットシステムが操作可能となります。

＊ 誘導先のシステムは Debian です。

【検証結果】

下図は、攻撃後の誘導先のコンピュータ（Debian）の画面です。黄線で囲まれている部分は、誘導先のコンピュータのホスト情報です。一方、赤線で囲まれている部分は、ターゲットシステム（Windows 7）において、コマンドを実行した結果が表示されています。
これにより、ターゲットシステムの制御の奪取に成功したと言えます。