Scientific Linux セキュリティ更新：SL4.x、SL5.x i386/x86_64 の firefox

high Nessus プラグイン ID 60916

Language:

概要

リモート Scientific Linux ホストに 1 つ以上のセキュリティ更新がありません。

説明

不正な形式の Web コンテンツの処理に様々な欠陥が見つかりました。悪意のあるコンテンツが含まれる Web ページが、Firefox をクラッシュさせたり、 Firefox を実行しているユーザーの権限で任意のコードを実行したりする可能性があります。（CVE-2010-3766、CVE-2010-3767、CVE-2010-3772、 CVE-2010-3776、CVE-2010-3777）

Firefox が無効な形式の JavaScript を処理する方法で、欠陥が見つかりました。悪意のある JavaScript が含まれるオブジェクトを使用した Web サイトにより、 Firefox で、Firefox を実行しているユーザーの権限で JavaScript が実行される可能性があります。（CVE-2010-3771）

この更新では、OpenType（OTS）ライブラリのサニタイザーのサポートを Firefox に追加しています。このライブラリでは、使用する前にフォントファイルを検証することで、不正な形式の OpenType フォントが悪用されるのを防ぐことができます。
（CVE-2010-3768）

Firefox が Java LiveConnect スクリプトをロードする方法に欠陥が見つかりました。
悪意のある Web コンテンツが Java LiveConnect スクリプトをロードし、結果としてプラグインオブジェクトの権限が昇格される可能性があり、これによって Firefox を実行しているユーザーの権限で Java コードを実行できるようになります。（CVE-2010-3775）

Firebug アドオンが使用されている場合に、CVE-2010-0179 の修正が不完全なことが判明しました。Firebug アドオンが有効である場合に、ユーザーが悪意のある Javaスクリプトが含まれる Web サイトにアクセスした場合、Firefox を実行しているユーザーの権限で、Firefox で任意の JavaScript が実行される可能性があります。（CVE-2010-3773）

Firefox がロケーションバーをユーザーに表示する方法に欠陥が見つかりました。ページのコンテンツが実際には攻撃者によってコントロールされている場合、悪意ある Web サイトがユーザーを騙して、ロケーションバーが示すサイトを表示しているとユーザーに勘違いさせる可能性があります。（CVE-2010-3774）

Firefox の x-mac-arabic、x-mac-farsi、および x-mac-hebrew 文字のエンコーディングにクロスサイトスクリプティング（XSS）の欠陥が見つかりました。
特定の文字が表示される時に、かぎ括弧に変換されます。サーバー側のスクリプトフィルターがこうした状況を検出しないと、 Firefox が異なる Web サイトの権限で JavaScript コードを実行する可能性があります。（CVE-2010-3770）

更新をインストールした後、変更した内容を反映させるには Firefox を再起動する必要があります。