openSUSE 16 セキュリティ更新 : MozillaFirefox (openSUSE-SU-2025-20065-1)
critical Nessus プラグイン ID 276603
Language:
概要
リモートの openSUSE ホストに 1 つ以上のセキュリティ アップデートがありません。説明
リモートの openSUSE 16 ホストには、openSUSE-SU-2025-20065-1 のアドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。MozillaFirefox における変更点:
Firefox 延長サポート版 140.5.0 ESR:
* 修正済み: さまざまなセキュリティ修正 (MFSA 2025-88 bsc#1253188):
* CVE-2025-13012 Graphics コンポーネントの競合状態
* CVE-2025-13016 JavaScript: WebAssembly コンポーネントの不適切な境界条件
* CVE-2025-13017 DOM: Notifications コンポーネントでの同一生成元ポリシーのバイパス
* CVE-2025-13018 DOM: Security コンポーネントの軽減バイパス
* CVE-2025-13019 DOM: Workers コンポーネントでの同一生成元ポリシーのバイパス
* CVE-2025-13013 DOM: Core & HTML コンポーネントの軽減バイパス
* CVE-2025-13020 WebRTC: Audio/Video コンポーネントのメモリ解放後使用 (Use After Free)
* CVE-2025-13014 Audio/Video コンポーネントのメモリ解放後使用 (Use After Free)
* CVE-2025-13015 Firefox でのなりすましの問題
- Firefox 延長サポート版 140.4.0 ESR
* 修正済み: さまざまなセキュリティ修正。
MFSA 2025-83 (bsc#1251263)
* CVE-2025-11708 MediaTrackGraphImpl::GetInstance() のメモリ解放後使用 (Use After Free)
* CVE-2025-11709 WebGL テクスチャによりトリガーされる特権プロセスでの領域外読み取り/書き込み
* CVE-2025-11710 悪質な IPC メッセージによるクロスプロセスの情報漏洩
* CVE-2025-11711 一部の書き込み不可のオブジェクトプロパティが変更される可能性があります
* CVE-2025-11712 OBJECT タグのタイプ属性が、content-type のないウェブリソースでのブラウザの動作を上書きしました
* CVE-2025-11713 Copy as cURL コマンドにおけるユーザー支援のコード実行の可能性
* CVE-2025-11714 Firefox ESR 115.29、Firefox ESR 140.4、Thunderbird ESR 140.4、Firefox 144、Thunderbird 144 で修正されたメモリの安全性のバグ
* CVE-2025-11715 Firefox ESR 140.4、Thunderbird ESR 140.4、Firefox 144、Thunderbird 144 で修正されたメモリの安全性のバグ
- Firefox 延長サポート版140.3.1 ESR (bsc#1250452)
* 修正済み: HTTP/3 接続が失敗したときの信頼性を改善
Firefox はフォールバック中に HTTP/2 を強制しなくなり、サーバーがプロトコルを選択できるようになり、一部のサイトでのストールを防ぎます。
Firefox 延長サポート版140.3.0 ESR
* 修正済み: さまざまなセキュリティ修正 (MFSA 2025-75 bsc#1249391)
* CVE-2025-10527 Graphics のメモリ解放後使用 (Use After Free) によるサンドボックスエスケープ:
Canvas2D コンポーネント
* CVE-2025-10528 Graphics: Canvas2D コンポーネントでの未定義の動作と無効なポインターによるサンドボックスエスケープ
* CVE-2025-10529 レイアウトコンポーネントでの同一生成元ポリシーのバイパス
* CVE-2025-10532 JavaScript: GC コンポーネントでの不適切な境界条件
* CVE-2025-10533 SVG コンポーネントの整数オーバーフロー
* CVE-2025-10536 Networking: Cache コンポーネントの情報漏洩
* CVE-2025-10537 Firefox ESR 140.3、Thunderbird ESR 140.3、Firefox 143、Thunderbird 143 で修正されたメモリの安全性のバグ
Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるパッケージを更新してください。参考資料
https://bugzilla.suse.com/1249391
https://bugzilla.suse.com/1250452
https://bugzilla.suse.com/1251263
https://bugzilla.suse.com/1253188
https://www.suse.com/security/cve/CVE-2025-10527
https://www.suse.com/security/cve/CVE-2025-10528
https://www.suse.com/security/cve/CVE-2025-10529
https://www.suse.com/security/cve/CVE-2025-10532
https://www.suse.com/security/cve/CVE-2025-10533
https://www.suse.com/security/cve/CVE-2025-10536
https://www.suse.com/security/cve/CVE-2025-10537
https://www.suse.com/security/cve/CVE-2025-11708
https://www.suse.com/security/cve/CVE-2025-11709
https://www.suse.com/security/cve/CVE-2025-11710
https://www.suse.com/security/cve/CVE-2025-11711
https://www.suse.com/security/cve/CVE-2025-11712
https://www.suse.com/security/cve/CVE-2025-11713
https://www.suse.com/security/cve/CVE-2025-11714
https://www.suse.com/security/cve/CVE-2025-11715
https://www.suse.com/security/cve/CVE-2025-13012
https://www.suse.com/security/cve/CVE-2025-13013
https://www.suse.com/security/cve/CVE-2025-13014
https://www.suse.com/security/cve/CVE-2025-13015
https://www.suse.com/security/cve/CVE-2025-13016
https://www.suse.com/security/cve/CVE-2025-13017
https://www.suse.com/security/cve/CVE-2025-13018
プラグインの詳細
深刻度: Critical
ID: 276603
ファイル名: openSUSE-2025-20065-1.nasl
バージョン: 1.1
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2025/11/24
更新日: 2025/11/24
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: Critical
基本値: 10
現状値: 7.4
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS スコアのソース: CVE-2025-13020
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 8.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
CVSS スコアのソース: CVE-2025-11710
脆弱性情報
CPE: p-cpe:/a:novell:opensuse:mozillafirefox, p-cpe:/a:novell:opensuse:mozillafirefox-branding-upstream, p-cpe:/a:novell:opensuse:mozillafirefox-devel, p-cpe:/a:novell:opensuse:mozillafirefox-translations-common, p-cpe:/a:novell:opensuse:mozillafirefox-translations-other, cpe:/o:novell:opensuse:16.0
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2025/11/19
脆弱性公開日: 2025/9/16
参照情報
CVE: CVE-2025-10527, CVE-2025-10528, CVE-2025-10529, CVE-2025-10532, CVE-2025-10533, CVE-2025-10536, CVE-2025-10537, CVE-2025-11708, CVE-2025-11709, CVE-2025-11710, CVE-2025-11711, CVE-2025-11712, CVE-2025-11713, CVE-2025-11714, CVE-2025-11715, CVE-2025-13012, CVE-2025-13013, CVE-2025-13014, CVE-2025-13015, CVE-2025-13016, CVE-2025-13017, CVE-2025-13018, CVE-2025-13019, CVE-2025-13020