SeaMonkey < 2.0.5 複数の脆弱性

high Nessus プラグイン ID 47126

Language:

概要

リモート Windows ホストに含まれる Web ブラウザは複数の脆弱性の影響を受けます。

説明

SeaMonkey のインストールバージョンは、 2.0.5 より前です。上記のバージョンは以下のセキュリティ問題の影響を受ける可能性があります。

- メモリ破損の脆弱性により、DOM ノードをドキュメント間で移動した後にガーベッジコレクションが慎重にタイムアウトすると、任意のコードが実行されることがあります。
(MFSA 2010-25)

複数のクラッシュにより、任意のコードが実行されることがあります。(MFSA 2010-26)

- 「nsCycleCollector」のエラーにより、以前解放されたリソースへのアクセスが可能となり、任意のコードの実行が引き起こされる可能性があります。(MFSA 2010-27)

- プラグイン A がプラグイン B により所有されるオブジェクトを参照している場合、プラグイン B がアンロードされ、参照されていたオブジェクトがもはや存在しなくなった後でも、プラグイン A はその参照を維持することができます。
これにより、任意のコードが実行されることがあります。(MFSA 2010-28)

- 「nsGenericDOMDataNode」でのエラーにより、特定の DOM ノードでバッファオーバーフローが発生し、任意のコードの実行を引き起こす可能性があります。(MFSA 2010-29)

- XSLT ノードのソート機能でのエラーには、整数オーバーフローがあり、アプリケーションのクラッシュや任意のコードの実行を引き起こす可能性があります。(MFSA 2010-30)

- あるドメインからのコンテンツが別のドメインからのページに埋め込まれており、「focus()」関数が使用される場合、クロスサイトスクリプティングの脆弱性が存在するため、情報漏洩を引き起こします。(MFSA 2010-31)

- HTTP ヘッダー「Content-Type: multipart」が存在する場合、HTTP ヘッダー「Content-Disposition: attachment」は無視されます。これにより、クロスサイトスクリプティングが発生することがあります。(MFSA 2010-32)

- 擬似乱数発生器は、ブラウジングセッション毎に一度だけシードされ、「Math.random()」を使用してシード値が復元されることがあり、これによってさまざまな Web サイトにわたってブラウザのインスタンスを追跡できます。(MFSA 2010-33)

ソリューション

SeaMonkey 2.0.5 以降にアップグレードしてください。

参考資料

https://www.mozilla.org/en-US/security/advisories/mfsa2010-25/

https://www.mozilla.org/en-US/security/advisories/mfsa2010-26/

https://www.mozilla.org/en-US/security/advisories/mfsa2010-27/

https://www.mozilla.org/en-US/security/advisories/mfsa2010-28/

https://www.mozilla.org/en-US/security/advisories/mfsa2010-29/

https://www.mozilla.org/en-US/security/advisories/mfsa2010-30/

https://www.mozilla.org/en-US/security/advisories/mfsa2010-31/

https://www.mozilla.org/en-US/security/advisories/mfsa2010-32/

https://www.mozilla.org/en-US/security/advisories/mfsa2010-33/

プラグインの詳細

深刻度: High

ID: 47126

ファイル名: seamonkey_205.nasl

バージョン: 1.15

タイプ: local

エージェント: windows

ファミリー: Windows

公開日: 2010/6/23

更新日: 2018/7/27

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

Base Score: 9.3

Temporal Score: 7.3

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C

脆弱性情報

CPE: cpe:/a:mozilla:seamonkey

必要な KB アイテム: SeaMonkey/Version

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2010/6/22

脆弱性公開日: 2009/1/13

参照情報

CVE: CVE-2008-5913, CVE-2010-0183, CVE-2010-1121, CVE-2010-1125, CVE-2010-1196, CVE-2010-1197, CVE-2010-1198, CVE-2010-1199

BID: 33276, 38952, 40701, 41082, 41087, 41100, 41102, 41103

Secunia: 40326