Scientific Linux セキュリティ更新：SL4.x、SL5.x i386/x86_64 の firefox

critical Nessus プラグイン ID 60664

Language:

概要

リモート Scientific Linux ホストに 1 つ以上のセキュリティ更新がありません。

説明

CVE-2009-2654 firefox：URL バースプーフィングの脆弱性

CVE-2009-3070 Firefox 3.5 3.0.14 ブラウザエンジンのクラッシュ

CVE-2009-3071 Firefox 3.5.2 3.0.14 ブラウザエンジンのクラッシュ

CVE-2009-3072 Firefox 3.5.3 3.0.14 ブラウザエンジンのクラッシュ

CVE-2009-3074 Firefox 3.5 3.0.14 JavaScript エンジンのクラッシュ

CVE-2009-3075 Firefox 3.5.2 3.0.14 JavaScript エンジンのクラッシュ

CVE-2009-3076 Firefox 3.0.14 PKCS11 モジュールインストールおよび削除の警告が不十分

CVE-2009-3077 Firefox 3.5.3 3.0.14 TreeColumns ダングリングポインターの脆弱性

CVE-2009-3078 Firefox 3.5.3 3.0.14 行の高さをもつ Unicode 文字を介したロケーションバーなりすまし

CVE-2009-3079 Firefox 3.5.3 3.0.14 Chrome の FeedWriter における権限昇格

不正な形式の Web コンテンツの処理に様々な欠陥が見つかりました。悪意のあるコンテンツが含まれる Web ページが、Firefox をクラッシュさせたり、 Firefox を実行しているユーザーの権限で任意のコードを実行したりする可能性があります。（CVE-2009-3070、CVE-2009-3071、CVE-2009-3072、CVE-2009-3074、

CVE-2009-3075）

Firefox で use-after-free の欠陥が見つかりました。攻撃者が、この欠陥を利用して、 Firefox をクラッシュさせたり、Firefox を実行しているユーザーの権限で任意のコードを実行したりする可能性があります。（CVE-2009-3077）

Firefox が無効な形式の JavaScript を処理する方法で、欠陥が見つかりました。悪意ある JavaScript を含むオブジェクトのある Web サイトが、 Firefox を実行しているユーザーの権限でその JavaScript を実行することが可能です。
（CVE-2009-3079）

PKCS #11 モジュールを追加、削除するときのダイアログの説明は不十分でした。ユーザーを騙して、悪意ある PKCS #11 モジュールをインストールさせることができる攻撃者が、この欠陥を利用して、自分の認証局の証明書をユーザーのマシンにインストールすることが可能です。これにより、ユーザーを騙して、信頼されるサイトを閲覧していると信じさせたり、 Firefox を実行しているユーザーの権限で任意のコードを実行したりすることが可能です。（CVE-2009-3076）

window.open() が特定の方法で呼び出されたときに Firefox がアドレスバーを表示する方法で、欠陥が見つかりました。攻撃者が、この欠陥を利用して、悪意のある URL を隠すことが可能です。これにより、ユーザーを騙し、信頼されるサイトを閲覧していると錯覚させることが可能です。（CVE-2009-2654）

Firefox が特定の Unicode 文字を表示する方法で、欠陥が見つかりました。攻撃者が、この欠陥を利用して、悪意のある URL を隠すことが可能です。これにより、ユーザーを騙し、信頼されるサイトを閲覧していると錯覚させることが可能です。（CVE-2009-3078）

これらの欠陥の技術的な詳細については、Firefox 3.0.14 向けの Mozilla セキュリティアドバイザリを参照してください。Mozilla アドバイザリへのリンクは、このエラータの参照セクションにあります。

更新をインストールした後、変更した内容を反映させるには Firefox を再起動する必要があります。