Firefox 3.6 < 3.6.23 の複数の脆弱性(Mac OS X)
high Nessus プラグイン ID 56376
Language:
概要
リモートのMac OS Xホストに、複数の脆弱性の影響を受けるWebブラウザーが含まれています。説明
Firefox 3.6 のインストールされているバージョンは、3.6.23 より前です。上記のバージョンは以下のセキュリティ問題の影響を受ける可能性があります。- 大きなJavaScriptの「RegExp」式を処理する場合の整数アンダーフローが存在し、潜在的に悪用可能なクラッシュが起こる可能性があります。(CVE-2011-2998)
- 悪意のあるゲームなどを介して攻撃者がユーザーを騙して「Enter」キーを押させると、悪意のあるアプリケーションまたは拡張機能がダウンロードされ、実行される可能性があります。(CVE-2011-2372)
- 悪用されてメモリ破損の可能性がある、詳細不明のエラーが存在します。現時点で追加情報はありません。(CVE-2011-2995、CVE-2011-2996)
- 名前付きフレームを作成する際の「window.location」JavaScript オブジェクトの実装に、エラーがあります。これが悪用されて、同一生成元ポリシーがバイパスされ、クロスサイトスクリプティング攻撃を引き起こす可能性があります。(CVE-2011-2999)
-「Location」ヘッダーを処理する時に欠陥が存在します。
これによって、脆弱性がある Web サーバーにアクセスする時に、応答分割攻撃が発生する可能性があります。同じ修正が「Content-Length」および「Content-Disposition」ヘッダーに適用されています。(CVE-2011-3000)
ソリューション
Firefox 3.6.23以降にアップグレードしてください。参考資料
https://www.mozilla.org/en-US/security/advisories/mfsa2011-36/
https://www.mozilla.org/en-US/security/advisories/mfsa2011-37/
https://www.mozilla.org/en-US/security/advisories/mfsa2011-38/
https://www.mozilla.org/en-US/security/advisories/mfsa2011-39/
https://www.mozilla.org/en-US/security/advisories/mfsa2011-40/
プラグインの詳細
深刻度: High
ID: 56376
ファイル名: macosx_firefox_3_6_23.nasl
バージョン: 1.8
タイプ: local
エージェント: macosx
公開日: 2011/10/3
更新日: 2018/7/14
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: High
基本値: 9.3
現状値: 6.9
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
脆弱性情報
CPE: cpe:/a:mozilla:firefox
必要な KB アイテム: MacOSX/Firefox/Installed
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2011/9/27
脆弱性公開日: 2011/9/27
参照情報
CVE: CVE-2011-2372, CVE-2011-2995, CVE-2011-2996, CVE-2011-2998, CVE-2011-2999, CVE-2011-3000