MiracleLinux 3firefox-3.6.13-2.0.1.AXS3、xulrunner-1.9.2.13-3.0.1.AXS3AXSA:2010-507:08
medium Nessus プラグイン ID 291364
Language:
概要
リモートのMiracleLinuxホストに1つ以上のセキュリティ更新プログラムがありません。説明
リモートの MiracleLinux 3 ホストには、AXSA:2010-507:08 のアドバイザリで言及されているように、複数の脆弱性の影響を受けるパッケージがインストールされています。Mozilla Firefox は、オープンソースの Web ブラウザで、標準へのコンプライアンス、パフォーマンス、ポータブル性を考慮して設計されています。
このリリースで修正されたセキュリティ問題
CVE-2010-37663.5.16 より前の Mozilla Firefox および より前の 3.6.x3.6.13、ならびに より前の SeaMonkey の use-after-free の脆弱性により、リモートの攻撃者が 2.0.11、 nsDOMAttribute ノードへの変更に関連するベクトルを介して任意のコードを実行することができます。
CVE-2010-37673.5.16 より前の Mozilla Firefox、 より前の 3.6.x3.6.13、ならびに より前の SeaMonkey の NewIdArray 関数の整数オーバーフローにより、リモートの攻撃者が 2.0.11、多数の要素がある JavaScript 配列を通じて、任意のコードを実行することが可能です。
CVE-2010-3768 より前の Mozilla Firefox および 3.5.163.6.x より前の 3.6.13、 3.0.11 より前の および 3.1.x3.1.7] より前の 2.0.11 Thunderbird 、 より前の SeaMonkey は、オペレーティングシステムのフォント実装内で使用する前に、ダウンロード可能なフォントを適切に検証していません。これにより、リモートの攻撃者が@font-face Cascading Style SheetCSSルールに関連するベクトルを通じて任意のコードを実行することが可能です。
CVE-2010-37703.5.16 より前の Mozilla Firefox、 より前の 、ならびに より 2.0.11前の SeaMonkey におけるレンダリングエンジンの複数のクロスサイトスクリプティングXSSの脆弱性により、 3.6.13リモートの攻撃者が 3.6.x 、 (1) x- を介して任意の Web スクリプトまたは HTML を注入することが可能です。 mac-arabic、(2) x-mac-farsi、または (3) x-mac-hebrew の文字。
CVE-2010-37713.5.16 より前の Mozilla Firefox、 3.6.x3.6.13] より前の 2.0.11、ならびに より前の SeaMonkey は、about:blank ページへの ISINDEX 要素の注入を適切に処理しません。これにより、リモートの攻撃者は、ベクトルを通じて、Chrome 権限で任意の JavaScript コードを実行することができます。 chrome へのリダイレクトに関連するURI。
CVE-2010-37723.5.16 より前の Mozilla Firefox、 3.6.x3.6.13より前の 2.0.11、ならびに より前の SeaMonkey が、XUL ツリーの特定の子コンテンツのインデックス値を適切に計算しません。これにより、リモートの攻撃者が、子 treeren 要素に関連するベクトルを通じて、可用性に影響を与えることが可能です。
CVE-2010-3773 より前の 3.5.16 および 3.6.x3.6.13より前の ] 、ならびに 2.0.11より前の SeaMonkey は、Firebug アドオンの XMLHttpRequestSpy モジュールが使用される際に、XMLHttpRequestSpy オブジェクトと chrome 権限のあるオブジェクトの間の相互作用を適切に処理しません。これにより、リモートの攻撃者が任意の JavaScript を実行する可能性があることが発見されました。注:この脆弱性は、CVE-2010-0179の修正が不完全なために存在します。
CVE-2010-3774 より前の Mozilla Firefox、 3.6.x3.5.16 より前の 、、 2.0.11およびより前の SeaMonkey において、netwerk/base/public/nsNetUtil.h にある NS_SecurityCompareURI 関数は 3.6.13、 (1) about:neterror と (2) about:これにより、リモートの攻撃者が、細工された Web サイトを通じてロケーションバーを偽装することが可能です。
CVE-2010-37753.5.16 より前の Mozilla Firefox、 3.6.x3.6.13より前の 2.0.11]、ならびに より前の SeaMonkey が、data: URL および Java LiveConnect スクリプトを含む特定のリダイレクトを適切に処理していません。これにより、リモートの攻撃者が、プロセスを開始し、任意のローカルファイルを読み取って、確立する可能性があります。 META 要素の http-equiv 属性のリフレッシュ値に関連するベクトルを介したネットワーク接続。
CVE-2010-3776 より前の Mozilla Firefox および より前の 3.6.x3.5.16 、 より前の Thunderbird および より前の 3.1.x3.0.11 、および より前の SeaMonkey において、ブラウザエンジンでの複数の詳細不明な脆弱性により 3.1.7、リモートの攻撃者は 3.6.13、サービス拒否メモリ破損 2.0.11 を引き起こすことが可能ですサービス拒否 (クラッシュおよびアプリケーションのクラッシュ) が発生したり、不明なベクトルを通じて任意のコードが実行される可能性があります。
CVE-2010-37773.6.x より 3.6.13 前の Mozilla Firefox および より前 3.1.x のThunderbird における詳細不明の脆弱性により 3.1.7 、リモートの攻撃者は、未知のベクトルを介してサービス拒否メモリ破損およびアプリケーションクラッシュを引き起こしたり、任意のコードを実行したりする可能性があります。
これを書いている時点では説明はありません。提供されているリンクを参照してください。
Tenableは、前述の記述ブロックをMiracleLinuxセキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受ける firefox および/または xulrunner パッケージを更新してください。参考資料
プラグインの詳細
深刻度: Medium
ID: 291364
ファイル名: miracle_linux_AXSA-2010-507.nasl
バージョン: 1.1
タイプ: local
公開日: 2026/1/19
更新日: 2026/1/19
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
Vendor
Vendor Severity: High
CVSS v2
リスクファクター: High
基本値: 9.3
現状値: 7.3
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
CVSS スコアのソース: CVE-2010-3777
CVSS v3
リスクファクター: Medium
基本値: 6.1
現状値: 5.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
CVSS スコアのソース: CVE-2010-3770
脆弱性情報
CPE: p-cpe:/a:miracle:linux:firefox, p-cpe:/a:miracle:linux:xulrunner, cpe:/o:miracle:linux:3
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2010/12/14
脆弱性公開日: 2010/12/9
参照情報
CVE: CVE-2010-3766, CVE-2010-3767, CVE-2010-3768, CVE-2010-3770, CVE-2010-3771, CVE-2010-3772, CVE-2010-3773, CVE-2010-3774, CVE-2010-3775, CVE-2010-3776, CVE-2010-3777