リモートホストにインストールされている mozilla-firefox のバージョンは、115.4.0esr より前です。したがって、SSA:2023-297-01 のアドバイザリに記載されている脆弱性の影響を受けます。

  - アクティベーション遅延が不十分なため、特定のブラウザプロンプトとダイアログが、ユーザーによって意図せずにアクティブ化または消去される可能性があります。(CVE-2023-5721)

  - ドライバーは非常に大規模な描画呼び出しに対して常に堅牢であるとは限らず、場合によっては、このシナリオがクラッシュにつながる可能性があります。(CVE-2023-5724)

  - 悪意を持ってインストールされた WebExtension は任意の URL を開く可能性があり、適切な状況下でこれが悪用されて、機密性の高いユーザーデータが収集される可能性があります。(CVE-2023-5725)

  - Web サイトが、ファイルオープンダイアログを使用することで、全画面通知を隠している可能性があります。これにより、ユーザーの混乱やなりすまし攻撃が発生する可能性がありました。注意:  この問題は macOS オペレーティングシステムにのみ影響します。その他のオペレーティングシステムは影響を受けません。(CVE-2023-5726)

  - .msix、.msixbundle、.appx、および .appxbundle ファイルをダウンロードするときには、実行可能ファイルの警告は表示されませんでした。それは、ユーザーのコンピューターでコマンドを実行することが可能です。注意:  この問題は Windows オペレーティングシステムにのみ影響します。その他のオペレーティングシステムは影響を受けません。(CVE-2023-5727)

  - ガベージコレクション中に、実行されるべきではない余分な操作がオブジェクトで実行されていました。これにより、悪用可能なクラッシュが発生する可能性がありました。(CVE-2023-5728)

  - Firefox 118、Firefox ESR 115.3、および Thunderbird 115.3 に存在するメモリの安全性のバグ。これらのバグの一部にはメモリ破損の証拠が示されており、当社では、十分な労力をもってすればこれらの一部を悪用し、任意のコードを実行することが可能であると推測しています。(CVE-2023-5730)

  - 攻撃者が、アクセス時にアドレスバーの場所を偽装するために、双方向文字を使用して悪質なリンクを作成する可能性があります。(CVE-2023-5732)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

検出

Slackware Linux 15.0/ current mozilla-firefox の複数の脆弱性 (SSA:2023-297-01)

critical Nessus プラグイン ID 183835

バージョン 1.2