検出

Mozilla Firefox < 58.0

critical Nessus プラグイン ID 106303

Language:

概要

リモートの Windows ホストにインストールされているウェブブラウザは、複数の脆弱性の影響を受けます。

説明

リモートの Windows ホストにインストールされている Firefox のバージョンは、58.0 より前です。したがって、mfsa2018-02 アドバイザリに記載されている複数の脆弱性の影響を受けます。

 - Mozilla 開発者およびコミュニティメンバー Calxte Denizet 氏、Christian Holler 氏、Alex Gaynor 氏、Yoshi Huangv、Bob Claryv、Nils Ohlmeier 氏、Jason Kratzer 氏、Jesse Ruderman 氏、Philipp 氏、Mike Taylor 氏、Marcia Knous 氏、Paul Adenot 氏、Randell Jesup 氏、JW Wang 氏、Tyson Smith 氏、 Emilio Cobos lvarez 氏、Ted Campbell 氏、Stephen Fewer 氏、Tristan Bourvon 氏、Jet Villegas 氏は、Firefox 57 に存在するメモリ安全性のバグを報告しました。これらのバグの一部にはメモリ破損の証拠が示されており、当社では、十分な労力をもってすればこれらの一部を悪用し、任意のコードを実行することが可能であると推測しています。(CVE-2018-5090)

 - WebCrypto の <code>DoCrypt</code> 関数に、潜在的な整数オーバーフローが特定されました。これを悪用する手段が見つかった場合、領域外書き込みを引き起こす可能性があります。(CVE-2018-5122)

 - WebRTC 接続中に DTMF タイマーと対話すると、メモリ解放後使用 (Use-After-Free) の脆弱性が発生する可能性があります。
 これにより、悪用可能なクラッシュが引き起こされる可能性があります。(CVE-2018-5091)

 - フェッチ操作をキャンセルするときに、ウェブワーカーのスレッドがメインスレッドのメモリからではなく、早期にメモリから解放されると、メモリ解放後使用 (Use-After-Free) の脆弱性が発生する可能性があります。(CVE-2018-5092)

 - メモリ/テーブルのサイズ変更中に WebAssembly でヒープバッファオーバーフローの脆弱性が発生し、悪用可能なクラッシュを引き起こす可能性があります。(CVE-2018-5093)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Mozilla Firefox をバージョン 58.0 以降にアップグレードしてください。

参考資料

https://www.mozilla.org/en-US/security/advisories/mfsa2018-02/

プラグインの詳細

深刻度: Critical

ID: 106303

ファイル名: mozilla_firefox_58_0.nasl

バージョン: 1.8

タイプ: local

エージェント: windows

ファミリー: Windows

公開日: 2018/1/24

更新日: 2025/11/18

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2018-5090

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

CVSS スコアのソース: CVE-2018-5122

脆弱性情報

CPE: cpe:/a:mozilla:firefox

必要な KB アイテム: installed_sw/Mozilla Firefox

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2018/1/23

脆弱性公開日: 2018/1/23

参照情報

CVE: CVE-2018-5089, CVE-2018-5090, CVE-2018-5091, CVE-2018-5092, CVE-2018-5093, CVE-2018-5094, CVE-2018-5095, CVE-2018-5097, CVE-2018-5098, CVE-2018-5099, CVE-2018-5100, CVE-2018-5101, CVE-2018-5102, CVE-2018-5103, CVE-2018-5104, CVE-2018-5105, CVE-2018-5106, CVE-2018-5107, CVE-2018-5108, CVE-2018-5109, CVE-2018-5110, CVE-2018-5111, CVE-2018-5112, CVE-2018-5113, CVE-2018-5114, CVE-2018-5115, CVE-2018-5116, CVE-2018-5117, CVE-2018-5118, CVE-2018-5119, CVE-2018-5121, CVE-2018-5122

BID: 102783

MFSA: 2018-02