検出

Mozilla Firefox < 68.0

critical Nessus プラグイン ID 126622

Language:

概要

リモートの Windows ホストにインストールされている Web ブラウザは、複数の脆弱性の影響を受けます。

説明

リモートの Windows ホストにインストールされている Firefox のバージョンは、68.0 より前です。したがって、mfsa2019-21アドバイザリに記載されているとおり、複数の脆弱性の影響を受けます。

 -スクリプトによって明示的にアクセスされるまで、 <code>window.globalThis</code> は列挙可能ではないため、 <code>Object.getOwnPropertyNames(window)</code>などのコードに表示されません。ウィンドウオブジェクトへのアクセスの列挙とフリーズに依存するサンドボックスをデプロイするサイトは、これを見逃している可能性があります。これにより、サンドボックスがバイパスされる可能性があります。CVE-2019-11716

 - NeckoはUDP接続中に誤ったスレッドで子にアクセスできるため、場合により、潜在的に悪用可能なクラッシュを引き起こす可能性があります。CVE-2019-11714

 - Pwn2Own入賞の一環として、Niklas Baumstark氏は、悪意のある言語パックをインストールし、侵害された翻訳を使用したブラウザー機能を開くことによって、サンドボックスの回避を実証しました。
 (CVE-2019-9811)

 - 内部ウィンドウが再利用されるとき、内部ウィンドウはオリジン間保護に対して <code>document.domain</code> の使用を考慮しません。 <code>:</code>​ <code>​</code> ​発見しました。CVE-2019-11711

 - NPAPI プラグインによって作成された Flash などの POST リクエストは、ステータス 308 のリダイレクト応答を受信すると、CORS 要件をバイパスする可能性があります。これにより、攻撃者がクロスサイトリクエストフォージェリ(CSRF)攻撃を実行する可能性があります。
 (CVE-2019-11712)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Mozilla Firefox をバージョン 68.0 以降にアップグレードしてください。

参考資料

https://www.mozilla.org/en-US/security/advisories/mfsa2019-21/

プラグインの詳細

深刻度: Critical

ID: 126622

ファイル名: mozilla_firefox_68_0.nasl

バージョン: 1.6

タイプ: local

エージェント: windows

ファミリー: Windows

公開日: 2019/7/11

更新日: 2025/11/18

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 7.3

CVSS v2

リスクファクター: High

基本値: 7.5

現状値: 5.9

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2019-11716

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

CVSS スコアのソース: CVE-2019-11714

脆弱性情報

CPE: cpe:/a:mozilla:firefox

必要な KB アイテム: installed_sw/Mozilla Firefox

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2019/7/9

脆弱性公開日: 2019/7/9

参照情報

CVE: CVE-2019-11709, CVE-2019-11710, CVE-2019-11711, CVE-2019-11712, CVE-2019-11713, CVE-2019-11714, CVE-2019-11715, CVE-2019-11716, CVE-2019-11717, CVE-2019-11718, CVE-2019-11719, CVE-2019-11720, CVE-2019-11721, CVE-2019-11723, CVE-2019-11724, CVE-2019-11725, CVE-2019-11727, CVE-2019-11728, CVE-2019-11729, CVE-2019-11730, CVE-2019-9811

BID: 109081, 109083, 109084, 109085, 109086, 109087

MFSA: 2019-21