Mozilla Firefox ESR < 52.5
critical Nessus プラグイン ID 104637
Language:
概要
リモートの Windows ホストにインストールされているウェブブラウザは、複数の脆弱性の影響を受けます。説明
リモートの Windows ホストにインストールされている Firefox ESR のバージョンは、52.5 より前のものです。したがって、mfsa2017-25 アドバイザリに記載されている複数の脆弱性の影響を受けます。- Mozilla 開発者およびコミュニティメンバーの Christian Holler 氏、David Keeler 氏、Jon Coppeard 氏、Julien Cristau 氏、Jan de Mooij 氏、Jason Kratzer 氏、Philipp 氏、Nicholas Nethercote 氏、Oriol Brufau 氏、Andr Bargull 氏、Bob Clary 氏、Jet Villegas 氏、Randell Jesup 氏、Tyson Smith 氏、Gary Kwong 氏、および Ryan VanderMeulen 氏が、Firefox 56、および Firefox ESR 52.4 に存在するメモリ安全性のバグを報告しました。これらのバグの一部にはメモリ破損の証拠が示されており、当社では、手間をかけることにより、これらの一部が悪用され、任意のコードが実行される可能性があると推測しています。
(CVE-2017-7826)
- <code>PressShell</code> オブジェクトが使用中に解放されているため、レイアウトをフラッシュおよびサイズ変更する際に、メモリ解放後使用 (Use-After-Free) の脆弱性が発生する可能性があります。これにより、これらの操作中に悪用可能なクラッシュが引き起こされる可能性があります。(CVE-2017-7828)
- Resource Timing API が、クロスオリジン iframe のナビゲーションを不適切に漏洩していました。これは同一オリジンポリシー違反であり、ユーザーがロードした URL のデータが盗まれる可能性があります。(CVE-2017-7830)
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
Mozilla Firefox ESR をバージョン 52.5 以降にアップグレードしてください。参考資料
https://www.mozilla.org/en-US/security/advisories/mfsa2017-25/
プラグインの詳細
深刻度: Critical
ID: 104637
ファイル名: mozilla_firefox_52_5_esr.nasl
バージョン: 1.8
タイプ: local
エージェント: windows
ファミリー: Windows
公開日: 2017/11/16
更新日: 2025/11/18
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: Critical
基本値: 10
現状値: 7.4
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS スコアのソース: CVE-2017-7826
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 8.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
CVSS スコアのソース: CVE-2017-7828
脆弱性情報
CPE: cpe:/a:mozilla:firefox_esr
必要な KB アイテム: installed_sw/Mozilla Firefox ESR
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2017/11/14
脆弱性公開日: 2017/11/14
参照情報
CVE: CVE-2017-7826, CVE-2017-7828, CVE-2017-7830
BID: 101832
MFSA: 2017-25