検出

Scientific Linux セキュリティ更新:SL5.x、SL6.x i386/x86_64 の Firefox

high Nessus プラグイン ID 61282

Language:

概要

リモート Scientific Linux ホストに 1 つ以上のセキュリティ更新がありません。

説明

Mozilla Firefox はオープンソースの Web ブラウザです。

不正な形式の Web コンテンツの処理に様々な欠陥が見つかりました。悪意のあるコンテンツが含まれる Web ページが、Firefox をクラッシュさせたり、 Firefox を実行しているユーザーの権限で任意のコードを実行したりする可能性があります。(CVE-2012-0461、 CVE-2012-0462、CVE-2012-0464)

Firefox が特定のスケーラブル・ベクター・グラフィックス(SVG)画像ファイルを解析する方法で、2 つの欠陥が見つかりました。悪意ある SVG イメージファイルを含む Web ページが、情報漏洩を引き起こしたり、Firefox をクラッシュさせたり、 Firefox を実行しているユーザーの権限で任意のコードを実行したりする可能性があります。(CVE-2012-0456、CVE-2012-0457)

ユーザーが騙されて「javascript:」リンクをフレームにドロップした場合、欠陥があるため、悪意あるサイトが本来守られるべき制限をバイパスして、クロスサイトスクリプティング(XSS)攻撃を引き起こす可能性があります。
(CVE-2012-0455)

ホームページに「javascript:」リンクを設定される可能性があることが判明しました。
ユーザーが騙されて、リンクをホームボタンにドラッグしてホームページに設定した場合、Firefox が繰り返しクラッシュを引き起こし、最終的には Firefox を実行中のユーザーの権限で任意のコードを実行する可能性があります。(CVE-2012-0458)

Firefox が「cssText」を含む特定の Web コンテンツを解析スする方法で、欠陥が見つかりました。悪意のあるコンテンツが含まれる Web ページが、Firefox をクラッシュさせたり、 Firefox を実行しているユーザーの権限で任意のコードを実行したりする可能性があります。(CVE-2012-0459)

DOM フルスクリーン API を使用することにより、信頼されないコンテンツが mozRequestFullscreen セキュリティ保護をバイパスする可能性があることが見つかりました。悪意ある Web コンテンツを含む Web ぺージがこの API の欠陥を悪用することにより、ユーザーインターフェイスのなりすましを引き起こす可能性があります。(CVE-2012-0460)

Firefox が複数の Content Security Policy(CSP)ヘッダーのあるページを処理する方法で、欠陥が見つかりました。これは、ヘッダーインジェクションの欠陥のある Web サイトと組み合わせて使用された場合に、クロスサイトスクリプティング攻撃を引き起こす可能性があります。(CVE-2012-0451)

これらの欠陥の技術的な詳細については、Firefox 10.0.3 ESR 向けの Mozilla セキュリティアドバイザリを参照してください。Mozilla アドバイザリへのリンクは、このエラータの「参照」セクションにあります。

この更新は以下のバグも修正します:

- 繁体字中国語ロケール(zh-TW)を使用する場合は、Firefox を終了する際にセグメンテーション違反がときどき発生しました。

 - Web コンソール([Tools](ツール)-> [Web Developer](Web 開発者)-> [Web Console](Web コンソール))にテキストを入力すると、Firefox がクラッシュしました。

Firefox の全ユーザーは、Firefox バージョン 10.0.3 ESR が含まれるこれらの更新済みのパッケージへアップグレードし、これらの問題を修正する必要があります。更新をインストールした後、変更した内容を反映させるには Firefox を再起動する必要があります。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

http://www.nessus.org/u?c6e9781c

プラグインの詳細

深刻度: High

ID: 61282

ファイル名: sl_20120314_firefox_on_SL5_x.nasl

バージョン: 1.5

タイプ: local

エージェント: unix

公開日: 2012/8/1

更新日: 2021/1/14

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

基本値: 7.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

脆弱性情報

CPE: p-cpe:/a:fermilab:scientific_linux:firefox, p-cpe:/a:fermilab:scientific_linux:firefox-debuginfo, p-cpe:/a:fermilab:scientific_linux:xulrunner, p-cpe:/a:fermilab:scientific_linux:xulrunner-debuginfo, p-cpe:/a:fermilab:scientific_linux:xulrunner-devel, x-cpe:/o:fermilab:scientific_linux

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

パッチ公開日: 2012/3/14

脆弱性公開日: 2012/3/14

参照情報

CVE: CVE-2012-0451, CVE-2012-0455, CVE-2012-0456, CVE-2012-0458, CVE-2012-0459, CVE-2012-0460, CVE-2012-0461