検出

MiracleLinux 7firefox-128.6.0-1.0.1.el7.AXS7AXSA:2025-9585:03

high Nessus プラグイン ID 283392

Language:

概要

リモートのMiracleLinuxホストに1つ以上のセキュリティ更新プログラムがありません。

説明

リモートのMiracleLinux 7ホストには、AXSA:2025-9585:03アドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

 firefoxthunderbirdWeb Compatibility Shims による CSP バイパスと XSS の露出CVE-2024-11694] firefoxthunderbirdアドオン署名検証での未処理の例外CVE-2024-11696]firefoxthunderbird選択リスト要素が別のサイトで表示される可能性CVE-2024-11692firefoxthunderbirdFirefox 133、Thunderbird 133、Firefox ESR で修正されたメモリの安全性のバグ 128.5、および Thunderbird 128.5CVE-2024-11699firefoxthunderbird操作された Punycode と空白文字を介した URL バーのなりすましCVE-2024-11695] firefoxthunderbird不適切実行可能ファイル確認ダイアログでの Keypress 処理CVE-2024-11697firefoxテキストでの改行時の use-after-freeCVE-2025-0238] firefoxJavaScript テキストセグメンテーションを使用する際のメモリ破損CVE-2025-0241firefoxリダイレクトされた場合の Alt-Svc ALPN 検証の失敗CVE-2025-0239firefoxthunderbirdFirefox 134、Thunderbird 134、Firefox ESR で修正されたメモリ安全性 115.19のバグCVE-2025-0243、および Thunderbird 128.6128.6firefoxthunderbirdFirefox 134、Thunderbird 134、Firefox ESR で修正されたメモリ安全性のバグ、 Firefox ESR 128.6、T Thunderbird 115.19および Thunderbird 128.6CVE-2025-0242firefox混乱した補助攻撃の影響を受けやすい WebChannel APICVE-2025-0237] firefoxJavaScript JSON モジュールを解析する際のコンパートメントの不一致CVE-2025-0240CVE
 CVE-2024-11692 攻撃者が、選択ドロップダウンを別のタブ上に表示させる可能性があります。これにより、ユーザーに混乱が生じ、なりすまし攻撃を引き起こす可能性があります。この脆弱性は、Firefox < 133、Firefox ESR < 128.5、Thunderbird < 133、Thunderbird < 128.5に影響します。
 CVE-2024-11694 Enhanced Tracking Protection の Strict モードでは、Web Compatibility 拡張の Google SafeFrame shim を通じて、CSP の「frame-src」バイパスおよび DOM ベースの XSS を不注意で許可する可能性があります。この問題により、正当なコンテンツを装った悪意のあるフレームがユーザーを漏洩させる可能性がありました。この脆弱性は、Firefox < 133、Firefox ESR < 128.5、Firefox ESR < 115.18、Thunderbird < 133、Thunderbird < 128.5、Thunderbird < 115.18に影響します。
 CVE-2024-11695 アラビア語のスクリプトと空白文字を含む細工された URL により、ページの真の生成元が隠され、なりすまし攻撃が引き起こされる可能性があります。この脆弱性は、Firefox < 133、Firefox ESR < 128.5、Thunderbird < 133、Thunderbird < 128.5に影響します。
 CVE-2024-11696 アプリケーションは、アドオン署名認証中に「loadManifestFromFile」メソッドによってスローされる例外を考慮することができませんでした。この欠陥は、無効またはサポートされていない拡張マニフェストによって引き起こされたため、署名検証プロセスを中断させるランタイムエラーを引き起こす可能性があります。結果として、関連のないアドオンの署名検証の強制がバイパスされる可能性があります。このコンテキストにおける署名検証は、ユーザーのコンピューターにあるサードパーティアプリケーションがユーザーの拡張を改ざんしていないことを保証するために使用され、この問題の影響を限定します。この脆弱性は、Firefox < 133、Firefox ESR < 128.5、Thunderbird < 133、Thunderbird < 128.5に影響します。
 CVE-2024-11697 keypress イベントを処理する際、攻撃者がユーザーを騙して Open Executable File をバイパスさせることができた可能性がありますか。確認ダイアログ。これは、悪意のあるコードの実行につながる可能性があります。この脆弱性は、Firefox < 133、Firefox ESR < 128.5、Thunderbird < 133、Thunderbird < 128.5に影響します。
 CVE-2024-11699 Firefox 132、Firefox ESR 128.4、および Thunderbird 128.4に存在するメモリの安全性のバグ。これらのバグの一部にはメモリ破損の証拠が示されており、当社では、手間をかけることにより、これらの一部が悪用され、任意のコードが実行される可能性があると推測しています。この脆弱性は、Firefox < 133、Firefox ESR < 128.5、Thunderbird < 133、Thunderbird < 128.5に影響します。
 CVE-2025-0237 プロセス間でさまざまな情報を転送するために使用される WebChannel API は、送信するプリンシパルをチェックせず、代わりに送信されるプリンシパルを受け入れていました。これにより、権限昇格攻撃が引き起こされる可能性がありました。この脆弱性は、Firefox < 134、Firefox ESR < 128.6、Thunderbird < 134、Thunderbird < 128.6に影響します。
 CVE-2025-0238 メモリ割り当てをコントロールして失敗したと仮定します。攻撃者が use-after-free を引き起こし、悪用可能なクラッシュを引き起こす可能性があります。この脆弱性は、Firefox < 134、Firefox ESR < 128.6、Firefox ESR < 115.19、Thunderbird < 134、Thunderbird < 128.6に影響します。
 CVE-2025-0239 Alt-Svc を使用している場合、元のサーバーが安全でないサイトにリダイレクトされている場合、ALPN は証明書を適切に検証しませんでした。この脆弱性は、Firefox < 134、Firefox ESR < 128.6、Thunderbird < 134、Thunderbird < 128.6に影響します。
 CVE-2025-0240 JavaScript モジュールを JSON として解析すると、特定の状況下で、クロスコンパートメントアクセスが発生し、use-after-free が発生する可能性があります。この脆弱性は、Firefox < 134、Firefox ESR < 128.6、Thunderbird < 134、Thunderbird < 128.6に影響します。
 CVE-2025-0241 特別に細工されたテキストをセグメント化する場合、セグメンテーションによりメモリが破損し、悪用可能なクラッシュが引き起こされる可能性があります。この脆弱性は、Firefox < 134、Firefox ESR < 128.6、Thunderbird < 134、Thunderbird < 128.6に影響します。
 CVE-2025-0242 Firefox 133、Thunderbird 133、Firefox ESR 115.18、Firefox ESR [ 128.5、Thunderbird 115.18、および Thunderbird 128.5に、メモリの安全性に関するバグが存在します。これらのバグの一部にはメモリ破損の証拠が示されており、当社では、手間をかけることにより、これらの一部が悪用され、任意のコードが実行される可能性があると推測しています。この脆弱性は、Firefox < 134、Firefox ESR < 128.6、Firefox ESR < 115.19、Thunderbird < 134、Thunderbird < 128.6に影響します。
 CVE-2025-0243 Firefox 133、Thunderbird 133、Firefox ESR 128.5、Thunderbird 128.5に存在するメモリ安全性のバグ。これらのバグの一部にはメモリ破損の証拠が示されており、当社では、手間をかけることにより、これらの一部が悪用され、任意のコードが実行される可能性があると推測しています。この脆弱性は、Firefox < 134、Firefox ESR < 128.6、Thunderbird < 134、Thunderbird < 128.6に影響します。

Tenableは、前述の記述ブロックをMiracleLinuxセキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受ける Firefox パッケージを更新してください。

参考資料

https://tsn.miraclelinux.com/en/node/20769

プラグインの詳細

深刻度: High

ID: 283392

ファイル名: miracle_linux_AXSA-2025-9585.nasl

バージョン: 1.1

タイプ: local

公開日: 2026/1/13

更新日: 2026/1/13

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.3

Vendor

Vendor Severity: High

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2025-0242

CVSS v3

リスクファクター: High

基本値: 7.7

現状値: 6.7

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:L

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

CVSS スコアのソース: CVE-2025-0241

脆弱性情報

CPE: cpe:/o:miracle:linux:7, p-cpe:/a:miracle:linux:firefox

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2025/1/28

脆弱性公開日: 2025/1/7

参照情報

CVE: CVE-2025-0237, CVE-2025-0238, CVE-2025-0239, CVE-2025-0240, CVE-2025-0241, CVE-2025-0242, CVE-2025-0243