Mozilla Firefox < 115.0
high Nessus プラグイン ID 177932
Language:
概要
リモートの Windows ホストにインストールされているウェブブラウザは、複数の脆弱性の影響を受けます。説明
リモートの Windows ホストにインストールされている Firefox のバージョンは、115.0 より前です。したがって、mfsa2023-22 のアドバイザリに記載されている複数の脆弱性の影響を受けます。- Firefox 114 に存在するメモリの安全性のバグ。これらのバグの一部にはメモリ破損の証拠が示されており、当社では、手間をかけることにより、これらの一部が悪用され、任意のコードが実行される可能性があると推測しています。
(CVE-2023-37212)
- Firefox がすべての Cookie の保存をブロックするように設定されている場合でも、ソースが 'about:blank' の iframe を使用してデータをローカルストレージに保存することが可能でした。これにより、悪意のあるウェブサイトが許可なく追跡データを保存する可能性があります。(CVE-2023-3482)
- HTTPS 経由で WebRTC 接続を作成する際に、攻撃者が Use After Free (メモリ解放後使用) 状態を発生させる可能性がありました。
(CVE-2023-37201)
- スクリプト化されたプロキシをラッピングするクロスコンパートメントラッパーにより、他のコンパートメントからのオブジェクトがメインコンパートメントに保存され、Use After Free (メモリ解放後使用) が発生する可能性がありました。(CVE-2023-37202)
- ソーシャルエンジニアリングに関連するドラッグアンドドロップ API の検証が不十分なため、攻撃者がエンドユーザーを騙してローカルシステムファイルへのショートカットを作成させる可能性があります。これは、任意のコードを実行するために利用される可能性があります。(CVE-2023-37203)
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
Mozilla Firefox をバージョン 115.0 以降にアップグレードしてください。参考資料
https://www.mozilla.org/en-US/security/advisories/mfsa2023-22/
プラグインの詳細
深刻度: High
ID: 177932
ファイル名: mozilla_firefox_115_0.nasl
バージョン: 1.4
タイプ: local
エージェント: windows
ファミリー: Windows
公開日: 2023/7/4
更新日: 2025/11/18
サポートされているセンサー: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: Critical
基本値: 10
現状値: 7.8
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS スコアのソース: CVE-2023-37212
CVSS v3
リスクファクター: High
基本値: 8.8
現状値: 7.9
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: cpe:/a:mozilla:firefox
必要な KB アイテム: installed_sw/Mozilla Firefox
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2023/7/4
脆弱性公開日: 2023/7/4
参照情報
CVE: CVE-2023-3482, CVE-2023-37201, CVE-2023-37202, CVE-2023-37203, CVE-2023-37204, CVE-2023-37205, CVE-2023-37206, CVE-2023-37207, CVE-2023-37208, CVE-2023-37209, CVE-2023-37210, CVE-2023-37211, CVE-2023-37212
IAVA: 2023-A-0328-S