検出

Mozilla Firefox < 132.0

high Nessus プラグイン ID 209862

Language:

概要

リモートの macOS または Mac OS X ホストにインストールされている Web ブラウザは、複数の脆弱性の影響を受けます。

説明

リモートの macOS または Mac OS X ホストにインストールされている Firefox のバージョンは、132.0 より前のものです。したがって、mfsa2024-55 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

 - 信頼できるサイトから信頼されていないサイトへ、 <code>embed</code> または <code>object</code> 要素を介した権限の漏洩が発生した可能性があります。(CVE-2024-10458)

 - アクセシビリティが有効になっている場合、攻撃者がメモリ解放後使用 (Use After Free) を引き起こし、悪用可能なクラッシュにつながる可能性があります。(CVE-2024-10459)

 - 外部プロトコルハンドラープロンプトの生成元は、 <code>iframe</code>内の data: URL を使用して不明瞭になった可能性があります。(CVE-2024-10460)

 - multipart/x-mixed-replace 応答では、応答ヘッダーの <code>Content-Disposition: attachment</code> が考慮されず、ダウンロードを強制しませんでした。これにより、XSS 攻撃が可能になることがあります。(CVE-2024-10461)

 - 長い URL の切り捨てにより、権限プロンプトで生成元のなりすましが可能になった可能性があります。(CVE-2024-10462)

 - 特定の状況で、オリジン間でビデオフレームが漏洩する可能性があります。(CVE-2024-10463)

 - IndexedDB の潜在的な競合状態により、メモリ破損を引き起こし、悪用可能なクラッシュを引き起こす可能性があります。(CVE-2024-10468)

 - 履歴インターフェース属性への繰り返しの書き込みは、ブラウザでサービス拒否状態を引き起こすために使用された可能性があります。これは、この API にレート制限を導入することで解決されました。(CVE-2024-10464)

 - クリップボードの貼り付けボタンが複数のタブで表示され、なりすまし攻撃が発生する可能性があります。(CVE-2024-10465)

 - 特別に細工されたプッシュメッセージを送信することで、リモートサーバーが親プロセスをハングアップさせ、ブラウザが応答しなくなる可能性があります。(CVE-2024-10466)

 - Firefox 131、Firefox ESR 128.3、および Thunderbird 128.3 に存在するメモリの安全性のバグ。これらのバグの一部にはメモリ破損の証拠が示されており、当社では、十分な労力をもってすればこれらの一部を悪用し、任意のコードを実行することが可能であると推測しています。(CVE-2024-10467)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Mozilla Firefox をバージョン 132.0 以降にアップグレードしてください。

参考資料

https://www.mozilla.org/en-US/security/advisories/mfsa2024-55/

プラグインの詳細

深刻度: High

ID: 209862

ファイル名: macos_firefox_132_0.nasl

バージョン: 1.6

タイプ: local

エージェント: macosx

公開日: 2024/10/29

更新日: 2024/12/6

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2024-10467

CVSS v3

リスクファクター: High

基本値: 8.8

現状値: 7.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:mozilla:firefox

必要な KB アイテム: MacOSX/Firefox/Installed

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2024/10/29

脆弱性公開日: 2024/10/29

参照情報

CVE: CVE-2024-10458, CVE-2024-10459, CVE-2024-10460, CVE-2024-10461, CVE-2024-10462, CVE-2024-10463, CVE-2024-10464, CVE-2024-10465, CVE-2024-10466, CVE-2024-10467, CVE-2024-10468

IAVA: 2024-A-0695-S