検出

Mozilla Firefox ESR < 78.2

high Nessus プラグイン ID 139791

Language:

概要

リモートのWindowsホストにインストールされているWebブラウザは、複数の脆弱性の影響を受けます。

説明

リモートのWindowsホストにインストールされているFirefox ESRのバージョンは、78.2より前のものです。したがって、mfsa2020-38のアドバイザリに記載されている複数の脆弱性の影響を受けます。

 - Firefoxがユーザーによる書き込みが可能なディレクトリにインストールされている場合、Mozilla Maintenance Serviceがインストール場所からシステム権限でupdater.exeを実行する可能性があります。Mozilla Maintenance Serviceはupdater.exeがMozillaによって署名されていることを確認しますが、バージョンを以前のバージョンにロールバックすると、システム権限で古いバグや任意のコードを悪用できる可能性があります。注: この問題はWindowsオペレーティングシステムにのみ影響します。その他のオペレーティングシステムは影響を受けません。(CVE-2020-15663)

 - about:blankウィンドウのeval()関数への参照を保持することにより、悪意のあるWebページがInstallTriggerオブジェクトにアクセスし、ユーザーに拡張機能のインストールを促す可能性があります。ユーザーの混乱と相まって、意図しない拡張機能や悪意のある拡張機能がインストールされる可能性があります。(CVE-2020-15664)

 - Mozilla開発者のJason Kratzer氏、Christian Holler氏、Byron Campen氏、Tyson Smith氏が、Firefox 79およびFirefox ESR 78.1に存在するメモリの安全性に関するバグを報告しました。これらのバグの一部にはメモリ破損の証拠が示されており、当社では、手間をかけることにより、これらの一部が悪用され、任意のコードが実行される可能性があると推測しています。
 (CVE-2020-15670)

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

Mozilla Firefox ESRをバージョン78.2以降にアップグレードしてください。

参考資料

https://www.mozilla.org/en-US/security/advisories/mfsa2020-38/

プラグインの詳細

深刻度: High

ID: 139791

ファイル名: mozilla_firefox_78_2_esr.nasl

バージョン: 1.6

タイプ: local

エージェント: windows

ファミリー: Windows

公開日: 2020/8/25

更新日: 2024/2/23

サポートされているセンサー: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: High

基本値: 9.3

現状値: 6.9

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2020-15663

CVSS v3

リスクファクター: High

基本値: 8.8

現状値: 7.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

CVSS スコアのソース: CVE-2020-15670

脆弱性情報

CPE: cpe:/a:mozilla:firefox_esr

必要な KB アイテム: Mozilla/Firefox/Version

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2020/8/25

脆弱性公開日: 2020/8/25

参照情報

CVE: CVE-2020-15663, CVE-2020-15664, CVE-2020-15670

IAVA: 2020-A-0391-S

MFSA: 2020-38