検出

Ubuntu 11.04 / 11.10:mozvoikko、ubufoxの更新(USN-1277-2)

critical Nessus プラグイン ID 56945

Language:

概要

リモートのUbuntuホストに1つまたは複数のセキュリティ関連のパッチがありません。

説明

USN-1277-1 は、Firefoxの脆弱性を修正しました。この更新では、 Firefox 8 で使用する Mozvoikko および ubufox の更新済みパッケージを提供します。

Yosuke Hasegawa は、Mozilla ブラウザエンジンが Shift-JIS エンコーディングで無効シーケンスを不適切に処理することを、発見しました。API をデバッグしないでこのクラッシュを発生させることが可能な場合があり、それが悪意ある Web サイトによるこの脆弱性の悪用を可能にする場合があります。攻撃者がこの欠陥を利用することで、データを盗み出したり、悪意のあるスクリプトを Web コンテンツに注入できるおそれがあります。(CVE-2011-3648)

Marc Schoenefeld は、多くの機能がある JavaScript ファイルのプロファイリングに Firebug を使用すると、 Firefox がクラッシュすることを、発見しました。攻撃者が、API のデバッグを使用せずにリモートでブラウザをクラッシュさせる可能性のあるこの問題を悪用し、サービス拒否を引き起こす可能性があります。
(CVE-2011-3650)

Jason Orendorff 氏、Boris Zbarsky 氏、Gregg Tavares 氏、Mats Palmgren 氏、Christian Holler 氏、Jesse Ruderman 氏、Simona Marcu 氏、Bob Clary 氏および William McCloskey 氏は、Firefox およびその他の Mozilla ベースの製品で使用されているブラウザエンジンに、いくつかのメモリ安全性のバグを発見しました。攻撃者がこれらの欠陥を利用して、Firefoxを起動しているユーザーの権限で任意のコードを実行したり、ブラウザのクラッシュを引き起こして、サービス拒否を発生させる可能性があります。(CVE-2011-3651)

チェックされていないメモリの割り当て障害により、特定の状況下でFirefox がクラッシュし、サービス拒否を引き起こすことが判明しました。Firefoxを起動しているユーザーの権限で任意のコードを実行させる可能性もあります。(CVE-2011-3652)

Aki Helin 氏は、Firefox が SVG mpath 要素から SVG 以外の要素へのリンクを適切に処理していないことを発見しました。攻撃者がこの脆弱性を利用してFirefoxをクラッシュさせ、サービス拒否を引き起こしたり、Firefoxを呼び出すユーザーの権限で任意のコードを実行したりする可能性があります。(CVE-2011-3654)

内部の権限チェックが、Firefox 4で導入されたNoWaiverWrappersを順守しないことが発見されました。攻撃者がこれを利用して、Webコンテンツのブラウザ内で昇格した権限を取得する可能性があります。(CVE-2011-3655)。

注意: Tenable Network Securityは、前述の説明ブロックをUbuntuセキュリティアドバイザリからすでに直接抽出しています。Tenableでは、そこに新しい問題を追加することはせずに、できる限り自動的に整理と書式設定をするようにしています。

ソリューション

影響を受ける xul-ext-mozvoikko および/または xul-ext-ubufox パッケージを更新してください。

参考資料

https://usn.ubuntu.com/1277-2/

プラグインの詳細

深刻度: Critical

ID: 56945

ファイル名: ubuntu_USN-1277-2.nasl

バージョン: 1.10

タイプ: local

エージェント: unix

公開日: 2011/11/26

更新日: 2019/9/19

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

脆弱性情報

CPE: p-cpe:/a:canonical:ubuntu_linux:xul-ext-mozvoikko, p-cpe:/a:canonical:ubuntu_linux:xul-ext-ubufox, cpe:/o:canonical:ubuntu_linux:11.04, cpe:/o:canonical:ubuntu_linux:11.10

必要な KB アイテム: Host/cpu, Host/Debian/dpkg-l, Host/Ubuntu, Host/Ubuntu/release

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2011/11/23

脆弱性公開日: 2011/11/9

参照情報

CVE: CVE-2011-3648, CVE-2011-3650, CVE-2011-3651, CVE-2011-3652, CVE-2011-3654, CVE-2011-3655

BID: 50593, 50594, 50595, 50597, 50600, 50602

USN: 1277-2