Firefox 3.6 < 3.6.23 の複数の脆弱性(Mac OS X)
high Nessus プラグイン ID 56376
言語 :
New! Vulnerability Priority Rating (VPR)
Tenable では、すべての脆弱性に対して動的な VPR が計算されます。VPR は脆弱性の情報を、脅威インテリジェンスや機械学習アルゴリズムと組み合わせて、攻撃時に最も悪用される可能性の高い脆弱性を予測します。詳細は、 「VPR とは何で、CVSS とはどう違うのか」を参照してください。
VPR スコア : 5.9
概要
リモートのMac OS Xホストに、複数の脆弱性の影響を受けるWebブラウザーが含まれています。説明
Firefox 3.6 のインストールされているバージョンは、3.6.23 より前です。上記のバージョンは以下のセキュリティ問題の影響を受ける可能性があります。- 大きなJavaScriptの「RegExp」式を処理する場合の整数アンダーフローが存在し、潜在的に悪用可能なクラッシュが起こる可能性があります。(CVE-2011-2998)
- 悪意のあるゲームなどを介して攻撃者がユーザーを騙して「Enter」キーを押させると、悪意のあるアプリケーションまたは拡張機能がダウンロードされ、実行される可能性があります。(CVE-2011-2372)
- 悪用されてメモリ破損の可能性がある、詳細不明のエラーが存在します。現時点で追加情報はありません。(CVE-2011-2995、CVE-2011-2996)
- 名前付きフレームを作成する際の「window.location」JavaScript オブジェクトの実装に、エラーがあります。これが悪用されて、同一生成元ポリシーがバイパスされ、クロスサイトスクリプティング攻撃を引き起こす可能性があります。(CVE-2011-2999)
-「Location」ヘッダーを処理する時に欠陥が存在します。
これによって、脆弱性がある Web サーバーにアクセスする時に、応答分割攻撃が発生する可能性があります。同じ修正が「Content-Length」および「Content-Disposition」ヘッダーに適用されています。(CVE-2011-3000)
ソリューション
Firefox 3.6.23以降にアップグレードしてください。関連情報
https://www.mozilla.org/en-US/security/advisories/mfsa2011-36/
https://www.mozilla.org/en-US/security/advisories/mfsa2011-37/
https://www.mozilla.org/en-US/security/advisories/mfsa2011-38/
https://www.mozilla.org/en-US/security/advisories/mfsa2011-39/
https://www.mozilla.org/en-US/security/advisories/mfsa2011-40/
プラグインの詳細
深刻度: High
ID: 56376
ファイル名: macosx_firefox_3_6_23.nasl
バージョン: 1.8
タイプ: local
エージェント: macosx
公開日: 2011/10/3
更新日: 2018/7/14
リスク情報
リスクファクター: High
VPR スコア: 5.9
CVSS v2.0
Base Score: 9.3
Temporal Score: 6.9
ベクトル: AV:N/AC:M/Au:N/C:C/I:C/A:C
現状ベクトル: E:U/RL:OF/RC:C
脆弱性の情報
CPE: cpe:/a:mozilla:firefox
必要な KB アイテム: MacOSX/Firefox/Installed
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2011/9/27
脆弱性公開日: 2011/9/27
参照情報
CVE: CVE-2011-2372, CVE-2011-2995, CVE-2011-2996, CVE-2011-2998, CVE-2011-2999, CVE-2011-3000