SuSE 10 セキュリティ更新：Mozilla Firefox（ZYPP パッチ番号 7208）

high Nessus プラグイン ID 50488

Language:

概要

リモート SuSE 10 ホストにセキュリティ関連のパッチがありません。

説明

この更新で Mozilla Firefox のバージョンが 3.5.15 に更新され、様々なバグおよびセキュリティの問題が修正されます。

以下のセキュリティ問題が解決されました。

- Mozilla 開発者が Firefox およびその他の Mozilla ベースの製品で使用されているブラウザエンジンで、いくつかのメモリの安全性に関するバグを特定し、修正しました。これらのバグの一部には、特定の条件下でのメモリ破損の証拠が示されていました。十分な努力をすれば少なくともこれらの一部を悪用して、任意のコードが実行されることがあると、弊社では推測しています。（MFSA 2010-49/CVE-2010-3169）

- Matasano Security のセキュリティ研究者である Chris Rohlf 氏が、HTML フレームセット要素の実装に整数オーバーフロー脆弱性が含まれていることを、報告しました。フレームセット列の解析を担当していたコードが列番号で 8 バイトのカウンターを使用していたため、非常に列の数が大きい場合に、カウンターがオーバーフローしていました。その後、フレームセットで、メモリを割り当てるためにこのカウンターを使用すると、メモリのバッファが小さすぎたため、ヒープバッファオーバーフローが発生し、攻撃者が制御するメモリが実行されることがありました。（MFSA 2010-50/CVE-2010-2765）

- セキュリティ研究者の Sergey Glazunov が、ナビゲータープラグインの実装でのダングリングポインター脆弱性を報告しました。この脆弱性では、破壊された後でも、ナビゲーターオブジェクトでプラグイン配列へのポインターが保持される可能性があります。攻撃者がこの欠陥を利用して、ブラウザをクラッシュさせ、被害者のコンピューターで任意のコードを実行する可能性があります。（MFSA 2010-51/CVE-2010-2767）

- FortiGuard Labs のセキュリティ研究者である Haifei Li が、Firefox を使用して、被害者のコンピューターに移植されている悪意のあるコードのライブラリが、読み込まれることがあることを、報告しました。Firefox は、起動時に dwmapi.dll をロードしてプラットフォームを検出しようとします。このため、Windows XP など、このライブラリがないシステムでは、 Firefox は以後も現在の作業ディレクトリから、このライブラリをロードしようとします。攻撃者は、この脆弱性を利用して、ユーザーを騙して HTML ファイルおよび dwmapi.dll の悪意あるコピーをお使いのコンピューターの同じディレクトリにダウンロードさせます。この HTML ファイルを Firefox で開くと、悪意のあるコードが実行されます。攻撃者が被害者と同じネットワークにいる場合、悪意のある DLL が UNC パスでロードされることもあります。この攻撃では、 HTML ファイルや付随する DLL を開くように求められた際に Firefox が実行中でないことも必要です。これは、Windows 特有の問題であり、 Linux バージョンには影響しません。この件は、あくまで資料を完璧にすることを目的に記載しています。（MFSA 2010-52/CVE-2010-3131）

- team509 のセキュリティ研究者である Wushi が、テキスト変換の実行に使用されるコードルーチンでのヒープバッファオーバーフローを、報告しました。ページが、双方向テキストで構成されており、フローが変わると、テキストの長さの計算が正確でなくなることがあります。その後、テキストにメモリを割り当てるためにこの値が使われると、作成されるバッファが小さくなりすぎて、バッファオーバーフローが発生し、攻撃者が制御するメモリが実行される可能性があります。（MFSA 2010-53/CVE-2010-3166）

- セキュリティ研究者である Regenrecht が、CVE-2010-2753 の修正以後もダングリングポインターの問題が残っていることを、TippingPoint Zero Day イニシアチブを介して報告しました。特定の状況で、 XUL ツリー選択で保持されるポインターの 1 つが解放され、その後再使用されると、結果として攻撃者が制御するメモリが実行される可能性があります。（MFSA 2010-54/CVE-2010-2760）

- XUL オブジェクトを操作することで、XUL オブジェクトに特定のプロパティを設定すると DOM からツリーが削除され、削除されたメモリの一部へアクセスできる可能性があります。これは、セキュリティ研究者である regenrecht 氏によって、TippingPoint Zero Day イニシアチブを通して報告されました。Gecko バージョン 1.9.2 （Firefox 3.6、Thunderbird 3.1）およびそれ以降をベースとする製品では、このメモリが利用不能となるクラッシュを引き起こす値で上書きされました。Gecko バージョン 1.9.1 （Firefox 3.5、Thunderbird 3.0、 SeaMonkey 2.0）およびそれ以前をベースとする製品では、攻撃者がこの脆弱性を利用して、被害者のブラウザをクラッシュさせたり、コンピューターで任意のコードを実行する可能性があります。（MFSA 2010-55/CVE-2010-3168）

- セキュリティ研究者 regenrecht は、TippingPoint Zero Day イニシアチブを通して、XUL コンテンツビューの実装に、ダングリングポインター脆弱性が含まれていることを報告しました。ツリーの内部構造にアクセスするためのコンテンツ表示メソッドのいずれかを操作して、アクセスする前にノードを削除することで、削除されたメモリにアクセスする可能性があります。アクセスする前に、攻撃者が削除されたメモリの内容を制御できる場合、この脆弱性を利用して被害者のマシンで任意のコードを実行することができます。（MFSA 2010-56/CVE-2010-3167）

セキュリティ研究者である regenrecht が、ドキュメントを正規化するために使用されるコードに、任意のコードを実行するために利用されることがある論理的欠陥が含まれていることを、TippingPoint Zero Day イニシアチブを介して報告しました。正規化コードを実行すると、ドキュメントの子ノードの静的カウントがトラバーサルに使用され、この正規化の間に DOM ノードを削除するページが構築され、これによって、削除されたオブジェクトへのアクセスや、攻撃者が制御するメモリが実行される可能性があります。（MFSA 2010-57/CVE-2010-2766）

- セキュリティ研究者である Marc Schoenefeld は、特別に細工されたフォントがドキュメントに適用され、Mac システムでクラッシュが発生することを、報告しました。クラッシュは、メモリ破損の徴候であり、おそらく攻撃者がこれを利用して、被害者のコンピューターで任意のコードを実行する可能性があります。この問題は、Linux ビルドには影響がないと考えられるため、あくまで資料を完璧にすることを目的に記載しています。（MFSA 2010-58/CVE-2010-2770）

- Mozilla 開発者である Blake Kaplan 氏が、権限があるコードによってコンテンツ定義オブジェクトに安全にアクセスできるようにする、セキュリティラッパーであるラッパークラス XPCSafeJSObjectWrapper （SJOW）で、外部オブジェクトで終わるスコープチェーンが作成されることを、報告しました。スコープチェーンが内部オブジェクトで終わることを期待していた SJOW のユーザーに、Chrome の権限で任意の JavaScript を実行できる Chrome の特権オブジェクトが渡されることがあります。Michal Zalewski の最近の貢献によって、このアーキテクチャ上の弱点が明らかになりました。（MFSA 2010-59/CVE-2010-2762）

- Mozilla セキュリティ研究者である mozbugr_a4 は、Mozilla 1.9.1 開発ブランチのラッパークラス XPCSafeJSObjectWrapper （SJOW）に、呼び出し元が別のサイトのコンテキスト内で関数を実行できる、スクリプト化された関数の実装に論理的エラーがあることを、報告しました。これは、「同一生成元ポリシー」の違反であり、 XSS 攻撃を仕掛けるために使用される可能性があります。（MFSA 2010-60/CVE-2010-2763）

- Carnegie Mellon University CyLab（シリコンバレー校）のセキュリティ研究者である David Huang 氏および Collin Jackson 氏の報告によれば、ドキュメントが生成元全般に含まれていても、タグの type 属性がフレーム化した HTML ドキュメントの charset を上書きする可能性があります。フレーム化したドキュメントの charset を UTF-7 に設定する、そのようなタグが含まれるページが構築される可能性があります。これにより、攻撃者が UTF-7 エンコードされた JavaScript をサイトに送りこみ、サイトの XSS フィルターをバイパスし、上記の技法を使用してコードを実行できる可能性があります。（MFSA 2010-61/CVE-2010-2768）

- セキュリティ研究者である Paul Stone 氏が、JavaScript が含まれている HTML 選択が、designMode が有効な状態でドキュメントにコピーして貼り付けられるかドロップされると、JavaScript が、コードがドロップされたサイトのコンテキスト内で実行されることを、報告しました。悪意のあるサイトは、ユーザーに対してこのような操作を促すことによって XSS 攻撃で、および他のサイトのコンテキスト内で悪意のある JavaScript を実行するプロセスで、この問題を利用することがありました。（MFSA 2010-62/CVE-2010-2769）

- Matt Haggard 氏が、リクエストが生成元全体で作成される場合でも、XMLHttpRequest オブジェクトの statusText プロパティがリクエスターによって読み取り可能であることを、報告しました。このステータス情報により、Web サーバーの存在が明らかになり、内部のプライベートネットワークにあるサーバーについて情報を収集するために使用される可能性があります。この問題は Nicholas Berthaume によっても別個に Mozilla に報告されました。
（MFSA 2010-63/CVE-2010-2764）

- Mozilla 開発者が Firefox およびその他の Mozilla ベースの製品で使用されているブラウザエンジンで、いくつかのメモリの安全性に関するバグを特定し、修正しました。これらのバグの一部には、特定の条件下でのメモリ破損の証拠が示されていました。十分な努力をすれば少なくともこれらの一部を悪用して、任意のコードが実行されることがあると、弊社では推測しています。参照。（MFSA 2010-64）

Paul Nickerson、Jesse Ruderman、Olli Pettay、Igor Bukanov、Josh Soref の各氏が、Firefox 3.6 および Firefox 3.5 に影響を与えるメモリの安全性の問題を報告しました。

o メモリ安全性のバグ - Firefox 3.6、Firefox 3.5 o CVE-2010-3176

Jesse Ruderman 氏は、Firefox 3.5 のみに影響を与えるクラッシュがあることを報告しました。

o https://bugzilla.mozilla.org/show_bug.cgi?id=476547 o CVE-2010-3174

- セキュリティ研究者である Alexander Miller 氏は、長すぎる文字列を document.write へ渡すとスタックメモリに文字列のデータが過剰に書き込まれテキストレンダリングのルーチンが矛盾した状態で終了することを報告したした。攻撃者がこの欠陥を利用して、被害者のブラウザをクラッシュし、そのコンピューターで任意のコードを実行する可能性があります。（MFSA 2010-65/CVE-2010-3179）

- セキュリティ研究者である Sergey Glazunov 氏が、ウィンドウオブジェクトのロケーションバーを閉じた後に、プロパティにアクセスできることを報告しました。閉じたウィンドウのメモリは、その後システムによって再使用されている可能性があるため、ロケーションバーのプロパティにアクセスしようとすると、メモリが攻撃者によってコントロールされることがありました。（MFSA 2010-66/CVE-2010-3180）

- セキュリティ研究者である regenrecht が、TippingPoint Zero Day イニシアチブを通じて、window.__lookupGetter__ が引数なしで呼び出されると、コードが JavaScript スタックの先頭の値をプロパティ名とみなすことを報告しました。関数に渡される引数がないので、この先頭の値は、初期化されていないメモリ、または以前に解放された JavaScript オブジェクトへのポインターを表す可能性があります。こうした状況で、ダングリングポインターを介して呼び出される別のサブルーチンに値が渡されると、攻撃者がコントロールしているメモリが実行される可能性があります。（MFSA 2010-67/CVE-2010-3183）

- Google のセキュリティ研究者である Robert Swiecki 氏が、Gopher パーサーによって使用されている関数でテキストを HTML タグへ変換すると、テキストが実行可能な JavaScript に変換されることがあると報告しました。攻撃者が、名前の一部としてコード化されたスクリプトが含まれているファイルまたはディレクトリを Gopher サーバーで作成すると、そのサイトのコンテキスト内で、被害者のブラウザでそのスクリプトが実行される可能性があります。（MFSA 2010-68/CVE-2010-3177）

- セキュリティ研究者である Eduardo Vela Nava 氏は、ある Web ページが新しいウィンドウを開き、javascript:URL を使用して alert() などのモーダル呼び出しを行うと、その後、そのページは別のドメインにナビゲートされ、そのモーダル呼び出しが、ウィンドウオープナーを返すと、ナビゲートされたウィンドウでオブジェクトにアクセスできる可能性があることを報告しました。これは同一生成元ポリシーの違反であり、攻撃者によって使用されて、別の Web サイトから情報が盗まれる可能性があります。
（MFSA 2010-69/CVE-2010-3178）

- セキュリティ研究者である Richard Moore 氏は、部分的 IP アドレスが続くワイルドカードを含んでいる一般的な名前で SSL 証明書が作成されると、IP アドレスへの直接の参照によって IP アドレス全体がワイルドカードの範囲と一致するサーバーとの有効な SSL 接続が確立されることを報告しました。このような証明書が、認証局によって発行されることは、まったく起こりそうにありません。（MFSA 2010-70/CVE-2010-3170）

- Dmitri Gribenko 氏が、Linux で Mozilla アプリケーションを起動するスクリプトが LD_LIBRARY_PATH 環境変数の現在の作業ディレクトリに効果的に含まれていることを報告しました。攻撃者が、ブートストラップするスクリプトが依存するライブラリと同じ名前の悪意のある共有ライブラリを、現在の作業ディレクトリに配置することができると、攻撃者は正当なライブラリの代わりに自分のライブラリを読み込むことが、ありました。
（MFSA 2010-71/CVE-2010-3182）

検出

SuSE 10 セキュリティ更新：Mozilla Firefox（ZYPP パッチ番号 7208）

high Nessus プラグイン ID 50488

概要

説明

ソリューション

参考資料

プラグインの詳細

リスク情報

VPR

CVSS v2

脆弱性情報

エクスプロイト可能

参照情報