Ubuntu 11.04:mozvoikkoの更新(USN-1192-2)

critical Nessus プラグイン ID 55899

概要

リモートのUbuntuホストにセキュリティ関連のパッチがありません。

説明

USN-1192-1 は、Firefoxの脆弱性を修正しました。この更新では、Firefox 6 で使用する更新済みの Mozvoikko が提供されます。

Aral Yaman 氏が、WebGL エンジンで脆弱性を見つけました。攻撃者がこの欠陥を利用してFirefoxをクラッシュさせたり、Firefoxを呼び出すユーザーの権限で任意のコードを実行したりする可能性があります。(CVE-2011-2989)

Vivekanand Bolajwar 氏が、JavaScript エンジンの脆弱性を見つけました。攻撃者がこの欠陥を利用してFirefoxをクラッシュさせたり、Firefoxを呼び出すユーザーの権限で任意のコードを実行したりする可能性があります。(CVE-2011-2991)

Bert Hubert 氏および Theo Snelleman 氏が、Ogg リーダーに脆弱性を見つけました。攻撃者がこの欠陥を利用してFirefoxをクラッシュさせたり、Firefoxを呼び出すユーザーの権限で任意のコードを実行したりする可能性があります。(CVE-2011-2991)

Robert Kaiser 氏、Jesse Ruderman 氏、Gary Kwong 氏、Christoph Diehl 氏、 Martijn Wargers 氏、Travis Emmitt 氏、Bob Clary 氏、および Jonathan Watt 氏は、ブラウザのレンダリングエンジンに複数のメモリ脆弱性を発見しました。攻撃者がこれらを利用して、Firefoxを呼び出すユーザーの権限で任意のコードを実行する可能性があります。(CVE-2011-2985)

Rafael Gieschke 氏は、署名がない JavaScript が署名がある JAR 内部のスクリプトを呼び出す可能性があることを発見しました。これにより、署名があるJARのIDや権限を使って、攻撃者が任意のコードを実行できる可能性があります。(CVE-2011-2993)

Michael Jordon 氏は、過度に長いシェーダープログラムがバッファオーバーランを発生させる可能性があることを発見しました。攻撃者がこの欠陥を利用してFirefoxをクラッシュさせたり、Firefoxを呼び出すユーザーの権限で任意のコードを実行したりする可能性があります。(CVE-2011-2988)

Michael Jordon 氏は、Firefox の WebGL 実装で使用される ANGLE ライブラリにヒープオーバーフローを発見しました。攻撃者がこの欠陥を利用してFirefoxをクラッシュさせたり、Firefoxを呼び出すユーザーの権限で任意のコードを実行したりする可能性があります。(CVE-2011-2987)

SVG テキスト操作ルーチンに、ダングリングポインターの脆弱性があることがわかりました。攻撃者がこの欠陥を利用してFirefoxをクラッシュさせたり、Firefoxを呼び出すユーザーの権限で任意のコードを実行したりする可能性があります。(CVE-2011-0084)

Mike Cardwell 氏は、Content Security Policy(CSP)違反のレポートでリクエストヘッダーのリストからプロキシ承認の認証情報が排除されないことを発見しました。これにより、悪意のある Web サイトがプロキシ承認の認証情報をキャプチャできる可能性があります。Daniel Veditz 氏は、Content Security Policy(CSP)がある Web サイトへリダイレクトすると、構築されたポリシーでホストが正しく解決されないことを発見しました。
これにより、悪意のある Web サイトが別のWebサイトのContent Security Policy(CSP)を回避する可能性があります。(CVE-2011-2990)

注意: Tenable Network Securityは、前述の説明ブロックをUbuntuセキュリティアドバイザリからすでに直接抽出しています。Tenableでは、そこに新しい問題を追加することはせずに、できる限り自動的に整理と書式設定をするようにしています。

ソリューション

影響を受ける xul-ext-mozvoikko パッケージを更新してください。

参考資料

https://usn.ubuntu.com/1192-2/

プラグインの詳細

深刻度: Critical

ID: 55899

ファイル名: ubuntu_USN-1192-2.nasl

バージョン: 1.8

タイプ: local

エージェント: unix

公開日: 2011/8/18

更新日: 2019/9/19

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Critical

Base Score: 10

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

脆弱性情報

CPE: p-cpe:/a:canonical:ubuntu_linux:xul-ext-mozvoikko, cpe:/o:canonical:ubuntu_linux:11.04

必要な KB アイテム: Host/cpu, Host/Ubuntu, Host/Ubuntu/release, Host/Debian/dpkg-l

パッチ公開日: 2011/8/17

脆弱性公開日: 2011/8/18

参照情報

CVE: CVE-2011-0084, CVE-2011-2985, CVE-2011-2987, CVE-2011-2988, CVE-2011-2989, CVE-2011-2990, CVE-2011-2991, CVE-2011-2993

USN: 1192-2