検出

Mozilla Firefox < 135.0

critical Nessus プラグイン ID 214965

Language:

概要

リモートの Windows ホストにインストールされているウェブブラウザは、複数の脆弱性の影響を受けます。

説明

リモートの Windows ホストにインストールされている Firefox のバージョンは、135.0 より前です。したがって、mfsa2025-07 アドバイザリに記載されている複数の脆弱性の影響を受けます。

 - Firefox 134、Thunderbird 134、Firefox ESR 115.19、Firefox ESR 128.6、Thunderbird 115.19、Thunderbird 128.6 に存在するメモリの安全性のバグ。これらのバグの一部にはメモリ破損の証拠が示されており、当社では、手間をかけることにより、これらの一部が悪用され、任意のコードが実行される可能性があると推測しています。
 (CVE-2025-1016)

 - 攻撃者が細工された XSLT データを介してメモリ解放後使用 (Use After Free) を引き起こし、悪用可能なクラッシュにつながる可能性があります。(CVE-2025-1009)

 - 攻撃者が細工された Custom Highlight API を介してメモリ解放後使用 (Use After Free) を引き起こし、悪用可能なクラッシュにつながる可能性があります。(CVE-2025-1010)

 - ユーザーが全画面表示をすばやく再リクエストした場合、全画面通知が早期に非表示になります。
 これが悪用されて、潜在的ななりすまし攻撃が実行された可能性があります。(CVE-2025-1018)

 - WebAssembly コード生成のバグにより、クラッシュが引き起こされる可能性があります。攻撃者がこれを利用して、コードを実行する可能性がありました。(CVE-2025-1011)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Mozilla Firefox をバージョン 135.0 以降にアップグレードしてください。

参考資料

https://www.mozilla.org/en-US/security/advisories/mfsa2025-07/

プラグインの詳細

深刻度: Critical

ID: 214965

ファイル名: mozilla_firefox_135_0.nasl

バージョン: 1.5

タイプ: local

エージェント: windows

ファミリー: Windows

公開日: 2025/2/4

更新日: 2025/3/6

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2025-1020

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:mozilla:firefox

必要な KB アイテム: Mozilla/Firefox/Version

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2025/2/4

脆弱性公開日: 2025/2/4

参照情報

CVE: CVE-2025-1009, CVE-2025-1010, CVE-2025-1011, CVE-2025-1012, CVE-2025-1013, CVE-2025-1014, CVE-2025-1016, CVE-2025-1017, CVE-2025-1018, CVE-2025-1019, CVE-2025-1020

IAVA: 2025-A-0079-S