Ubuntu 9.10:firefox-3.5、xulrunner-1.9.1 回帰(USN-878-1)
high Nessus プラグイン ID 43824
Language:
概要
リモート Ubuntu ホストに 1 つ以上のセキュリティ関連パッチがありません。説明
USN-874-1 により、Firefox および Xulrunner の脆弱性が修正されました。NTLM 認証の使用時に上流の変更により回帰が発生しました。この更新により問題が修正され、安定性が強化されます。ご面倒をお掛けして申し訳ございません。
Jesse Ruderman 氏、Josh Soref 氏、Martijn Wargers 氏、 Jose Angel 氏、Olli Pettay 氏、および David James 氏が、Firefox のブラウザおよび JavaScript エンジンに複数の欠陥を発見しました。ユーザーが騙されて悪意のある Web サイトを表示すると、リモートの攻撃者がサービス拒否を引き起こしたり、プログラムを呼び出しているユーザーの権限で任意のコードを実行したりする可能性があります。(CVE-2009-3979、CVE-2009-3980、CVE-2009-3982、 CVE-2009-3986)
Takehiro Takahashi は、Firefox の NTLM 実装に欠陥があることを発見しました。NTLM 認証済みユーザーが悪意のある Web サイトにアクセスすると、リモートの攻撃者がそのユーザーとして認証され、他のアプリケーションにリクエストを送信する可能性があります。
(CVE-2009-3983)
Jonathan Morgan 氏が、Firefox が特定の状況下で SSL インジケーターを正しく表示しないことを発見しました。攻撃者はこれを利用して、フィッシング攻撃などで、暗号化されたページを偽装する可能性があります。(CVE-2009-3984)
Jordi Chancel 氏が、Firefox で、空白ページに対して無効な URL が正常に表示されないことを発見しました。ユーザーが騙されて悪意のある Web サイトにアクセスすると、攻撃者はこれを悪用してフィッシング攻撃のようにロケーションバーを偽装する可能性があります。(CVE-2009-3985)
David Keeler 氏、Bob Clary 氏、Dan Kaminsky 氏は、サードパーティメディアライブラリにいくつかの欠陥を発見しました。ユーザーが騙されて細工されたメディアファイルを開いた場合、リモートの攻撃者が、サービス拒否を引き起こしたり、プログラムを起動しているユーザーの権限で任意のコードを実行したりする可能性があります。
(CVE-2009-3388、 CVE-2009-3389)。
ソリューション
影響を受けるパッケージを更新してください。参考資料
プラグインの詳細
深刻度: High
ID: 43824
ファイル名: ubuntu_USN-878-1.nasl
バージョン: 1.18
タイプ: local
エージェント: unix
ファミリー: Ubuntu Local Security Checks
公開日: 2010/1/8
更新日: 2019/9/19
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: High
Base Score: 9.3
Temporal Score: 8.1
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
脆弱性情報
CPE: p-cpe:/a:canonical:ubuntu_linux:abrowser, p-cpe:/a:canonical:ubuntu_linux:abrowser-3.0, p-cpe:/a:canonical:ubuntu_linux:abrowser-3.0-branding, p-cpe:/a:canonical:ubuntu_linux:abrowser-3.1, p-cpe:/a:canonical:ubuntu_linux:abrowser-3.1-branding, p-cpe:/a:canonical:ubuntu_linux:abrowser-3.5, p-cpe:/a:canonical:ubuntu_linux:abrowser-3.5-branding, p-cpe:/a:canonical:ubuntu_linux:firefox, p-cpe:/a:canonical:ubuntu_linux:firefox-3.0, p-cpe:/a:canonical:ubuntu_linux:firefox-3.0-branding, p-cpe:/a:canonical:ubuntu_linux:firefox-3.0-dev, p-cpe:/a:canonical:ubuntu_linux:firefox-3.0-dom-inspector, p-cpe:/a:canonical:ubuntu_linux:firefox-3.0-gnome-support, p-cpe:/a:canonical:ubuntu_linux:firefox-3.0-venkman, p-cpe:/a:canonical:ubuntu_linux:firefox-3.1, p-cpe:/a:canonical:ubuntu_linux:firefox-3.1-branding, p-cpe:/a:canonical:ubuntu_linux:firefox-3.1-dbg, p-cpe:/a:canonical:ubuntu_linux:firefox-3.1-dev, p-cpe:/a:canonical:ubuntu_linux:firefox-3.1-gnome-support, p-cpe:/a:canonical:ubuntu_linux:firefox-3.5, p-cpe:/a:canonical:ubuntu_linux:firefox-3.5-branding, p-cpe:/a:canonical:ubuntu_linux:firefox-3.5-dbg, p-cpe:/a:canonical:ubuntu_linux:firefox-3.5-dev, p-cpe:/a:canonical:ubuntu_linux:firefox-3.5-gnome-support, p-cpe:/a:canonical:ubuntu_linux:firefox-dom-inspector, p-cpe:/a:canonical:ubuntu_linux:firefox-gnome-support, p-cpe:/a:canonical:ubuntu_linux:xulrunner-1.9.1, p-cpe:/a:canonical:ubuntu_linux:xulrunner-1.9.1-dbg, p-cpe:/a:canonical:ubuntu_linux:xulrunner-1.9.1-dev, p-cpe:/a:canonical:ubuntu_linux:xulrunner-1.9.1-gnome-support, p-cpe:/a:canonical:ubuntu_linux:xulrunner-1.9.1-testsuite, p-cpe:/a:canonical:ubuntu_linux:xulrunner-1.9.1-testsuite-dev, p-cpe:/a:canonical:ubuntu_linux:xulrunner-dev, cpe:/o:canonical:ubuntu_linux:9.10
必要な KB アイテム: Host/cpu, Host/Debian/dpkg-l, Host/Ubuntu, Host/Ubuntu/release
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2010/1/7
脆弱性公開日: 2009/12/17
参照情報
CVE: CVE-2009-3388, CVE-2009-3389, CVE-2009-3979, CVE-2009-3980, CVE-2009-3982, CVE-2009-3983, CVE-2009-3984, CVE-2009-3985, CVE-2009-3986
BID: 37361, 37362, 37364, 37365, 37366, 37367, 37368, 37369, 37370