検出

Ubuntu 11.04 / 11.10:Mozvoikko、ubufox の更新(USN-1306-2)

critical Nessus プラグイン ID 57458

Language:

概要

リモート Ubuntu ホストに 1 つ以上のセキュリティ関連パッチがありません。

説明

USN-1306-1 は、Firefox の脆弱性を修正しました。この更新では、 Firefox 9 で使用する Mozvoikko および ubufox の更新済みパッケージを提供します。

Alexandre Poirot 氏、Chris Blizzard 氏、Kyle Huey 氏、Scoobidiver、Christian Holler 氏、David Baron 氏、Gary Kwong 氏、Jim Blandy 氏、Bob Clary 氏、Jesse Ruderman 氏、Marcia Knous 氏、および Rober Longson 氏は、いくつかのメモリの安全性に関する問題を発見しました。この問題が悪用されると、Firefox がクラッシュしたり、 Firefox を呼び出すユーザーとして任意のコードが実行されたりする可能性があります。
(CVE-2011-3660)

Aki Helin は、YARR の正規表現ライブラリに、Web コンテンツ内の JavaScript によってトリガーされる可能なクラッシュがあることを発見しました。(CVE-2011-3661)

DOMAttrModified イベントハンドラー中に SVG 要素が削除された場合に、有効範囲外のメモリアクセスになるという Mozilla SVG 実装に欠陥が見つかりました。攻撃者がこの脆弱性を悪用して、Firefox をクラッシュさせる可能性があります。(CVE-2011-3658)

Mario Heiderich 氏は、SVG アニメーションの accessKey イベントを利用することにより、JavaScript が無効の際でもキー入力が検出されることを発見しました。悪意のある Web ページがこれを悪用して、スクリプティングが無効であるとユーザーが思っているコンテキストで、ユーザーを騙してブラウザからプロンプトが表示されていると思わせ、そのプロンプトとのやりとりをさせる可能性があります。
(CVE-2011-3663)

OGG <video> 要素を極端なサイズにスケーリングすると、Firefox をクラッシュさせることが可能なことが判明しました。
(CVE-2011-3665)。

ソリューション

影響を受ける xul-ext-mozvoikko および/または xul-ext-ubufox パッケージを更新してください。

参考資料

https://usn.ubuntu.com/1306-2/

プラグインの詳細

深刻度: Critical

ID: 57458

ファイル名: ubuntu_USN-1306-2.nasl

バージョン: 1.19

タイプ: local

エージェント: unix

公開日: 2012/1/9

更新日: 2019/9/19

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 8.5

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 8.7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

脆弱性情報

CPE: p-cpe:/a:canonical:ubuntu_linux:xul-ext-mozvoikko, p-cpe:/a:canonical:ubuntu_linux:xul-ext-ubufox, cpe:/o:canonical:ubuntu_linux:11.04, cpe:/o:canonical:ubuntu_linux:11.10

必要な KB アイテム: Host/cpu, Host/Debian/dpkg-l, Host/Ubuntu, Host/Ubuntu/release

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2012/1/6

脆弱性公開日: 2011/12/20

エクスプロイト可能

CANVAS (CANVAS)

Metasploit (Firefox nsSVGValue Out-of-Bounds Access Vulnerability)

参照情報

CVE: CVE-2011-3658, CVE-2011-3660, CVE-2011-3661, CVE-2011-3663, CVE-2011-3665

BID: 51133, 51134, 51135, 51136, 51138

USN: 1306-2