リモートの SUSE Linux SLES12 ホストには、SUSE-SU-2025:4423-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

    バージョン 2.50.3 に更新してください。

    セキュリティの問題を修正:

    - CVE-2025-13502: GLib リモートインスペクターサーバーによる悪意のある細工されたペイロードの処理により、領域外読み取りと整数アンダーフローを引き起こし、UIProcess がクラッシュする可能性があります (bsc#1254208)。
    - CVE-2025-13947: ファイルドラッグアンドドロップメカニズムの使用により、ドラッグ操作のソースの検証が不足しているため、リモートの情報漏洩が発生する可能性があります (bsc#1254473)。
    - CVE-2025-43392: キャッシュ処理の問題により、ウェブサイトがクロスオリジンで画像データを抽出する可能性があります (bsc#1254165)。
    - CVE-2025-43421: 悪意を持って細工されたウェブコンテンツを処理すると、有効化された配列割り当てシンキングのため、予期しないプロセスクラッシュが発生する可能性があります (bsc#1254167)。
    - CVE-2025-43425: 悪意を持って細工されたウェブコンテンツを処理すると、不適切なメモリ処理のため、予期しないプロセスクラッシュが発生する可能性があります (bsc#1254168)。
    - CVE-2025-43427: 悪意を持って細工されたウェブコンテンツを処理すると、状態管理の問題のため、予期しないプロセスクラッシュが発生する可能性があります (bsc#1254169)。
    - CVE-2025-43429: 悪意を持って細工されたウェブコンテンツを処理すると、バッファオーバーフローの問題のため、予期しないプロセスクラッシュが発生する可能性があります (bsc#1254174)。
    - CVE-2025-43430: 悪意を持って細工されたウェブコンテンツを処理すると、状態管理の問題のため、予期しないプロセスクラッシュが発生する可能性があります (bsc#1254172)。
    - CVE-2025-43431: 悪質な細工されたウェブコンテンツを処理すると、不適切なメモリ処理のため、メモリ破損が発生する可能性があります (bsc#1254170)。
    - CVE-2025-43432: 悪意を持って細工されたウェブコンテンツを処理すると、use-after-free の問題のため、予期しないプロセスクラッシュが発生する可能性があります (bsc#1254171)。
    - CVE-2025-43434: 悪意を持って細工されたウェブコンテンツを処理すると、use-after-free の問題のため、予期しないプロセスクラッシュが発生する可能性があります (bsc#1254179)。
    - CVE-2025-43440: 悪意を持って細工されたウェブコンテンツを処理すると、チェックの欠落のため、予期しないプロセスクラッシュが発生する可能性があります (bsc#1254177)。
    - CVE-2025-43443: 悪意を持って細工されたウェブコンテンツを処理すると、チェックの欠落のため、予期しないプロセスクラッシュが発生する可能性があります (bsc#1254176)。
    - CVE-2025-43458: 悪意を持って細工されたウェブコンテンツを処理すると、状態管理の問題のため、予期しないプロセスクラッシュが発生する可能性があります (bsc#1254498)。
    - CVE-2025-66287: 悪意を持って細工されたウェブコンテンツを処理すると、不適切なメモリ処理のため、予期しないプロセスクラッシュが発生する可能性があります (bsc#1254509)。

    その他の問題の修正および変更点:

    - バージョン 2.50.3:
      * ループプロパティを設定するメディア要素の検索と「ループ」を修正します。
      * いくつかのクラッシュとレンダリングの問題を修正します。

    - バージョン 2.50.2:
      * 安全でない URI スキームがメディア再生に参加するのを阻止します。
      * jsc_value_array_buffer_get_data() 関数のイントロスペクト可能にします。
      * WebAuthn による二要素認証が設定された Google アカウントへのログインを修正します。
      * GPU レンダリング用に構成されたスレッドがない場合、webkit://gpu の読み込みを修正します。
      * CSS hue 補間メソッドを使用するグラデーションのレンダリングを修正します。
      * クリップボードからの画像データの貼り付けを修正します。
      * フォント名に空白が含まれる際のフォントファミリー選択を修正します。
      * Musl や uClibc などの execinfo.h の欠如した標準 C ライブラリでのビルドを修正します。
      * Web インスペクターのキャンバススナップショットのキャプチャを修正します。
      * いくつかのクラッシュとレンダリングの問題を修正します。

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

検出

SUSE SLES12 セキュリティ更新 : webkit2gtk3 (SUSE-SU-2025:4423-1)

high Nessus プラグイン ID 279065

バージョン 1.3

バージョン 1.2

バージョン 1.1

バージョン 1.3 Mar 17, 2026, 4:16 PM CVSSv2 score source (changed from "CVE-2025-66287" to "CVE-2023-43000") Plugin Feed: 202603171616
バージョン 1.2 Mar 7, 2026, 12:24 AM CISA reference CVSS temporal metrics ("CVSSv2 temporal vector" set to "CVSS2#E:F/RL:OF/RC:C") CVSS temporal metrics ("CVSSv3 temporal vector" set to "CVSS:3.0/E:F/RL:O/RC:C") Exploit attributes ("Exploit available" set to "True") Exploit attributes ("Exploitability ease" changed from "No known exploits are available" to "Exploits are available") Plugin Feed: 202603070024
バージョン 1.1 Dec 18, 2025, 6:32 PM New Plugin Feed: 202512181832