FreeBSD： mozilla -- 投機的実行のサイドチャネル攻撃（8429711b-76ca-474e-94a0-6b980f1e2d47）

high Nessus プラグイン ID 105625

Language:

概要

リモートのFreeBSDホストに1つ以上のセキュリティ関連の更新プログラムがありません。

説明

Mozilla Foundation による報告：

Google Project Zero SecurityのJann Horn氏は、最新のCPUによる投機的実行がタイミングサイドチャネル攻撃を受け、情報を漏洩する可能性があることを報告しました。Microsoft Vulnerability Researchは、この攻撃をブラウザのJavaScriptエンジンにまで拡大し、悪意のあるWebページのコードが、（同一生成元ポリシーに違反して）他のWebサイトからデータを読み取ったり、ブラウザー自体からプライベートデータを読み取ったりする可能性があることを実証しました。

この新しいクラスの攻撃には正確な時間間隔が測定されるため、一部の短期的な緩和策として、Firefoxではいくつかのタイムソースの精度を無効にするか、低下させています。performance.now()の精度が5ミリ秒から20ミリ秒に低下され、高精度タイマーを構築するために使用されるSharedArrayBuffer機能が無効になりました。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://www.mozilla.org/en-US/security/advisories/mfsa2018-01/

http://www.nessus.org/u?cb97ca93

プラグインの詳細

深刻度: High

ID: 105625

ファイル名: freebsd_pkg_8429711b76ca474e94a06b980f1e2d47.nasl

バージョン: 3.3

タイプ: local

ファミリー: FreeBSD Local Security Checks

公開日: 2018/1/8

更新日: 2018/11/21

サポートされているセンサー: Nessus

脆弱性情報

CPE: p-cpe:/a:freebsd:freebsd:firefox, p-cpe:/a:freebsd:freebsd:waterfox, cpe:/o:freebsd:freebsd

必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

パッチ公開日: 2018/1/5

脆弱性公開日: 2018/1/4