検出

Scientific Linux セキュリティ更新:SL5.x、SL6.x i386/x86_64 の Firefox

critical Nessus プラグイン ID 62492

Language:

概要

リモート Scientific Linux ホストに 1 つ以上のセキュリティ更新がありません。

説明

Mozilla Firefox はオープンソースの Web ブラウザです。XULRunner は、Mozilla Firefox 用の XUL Runtime 環境を提供しています。

不正な形式の Web コンテンツの処理に様々な欠陥が見つかりました。悪意のあるコンテンツが含まれる Web ページが、Firefox をクラッシュさせたり、 Firefox を実行しているユーザーの権限で任意のコードを実行したりする可能性があります。- CVE-2012-3982、CVE-2012-3988、CVE-2012-3990、CVE-2012-3995、CVE-2012-4179、CVE-2012-4180、CVE-2012-4181、CVE-2012-4182、CVE-2012-4183、CVE-2012-4185、CVE-2012-4186、CVE-2012-4187、CVE-2012-4188:

Firefox の 2 つの欠陥によって、悪意のある Web サイトが意図された制限をバイパスし、情報漏洩が発生したり、Firefox が任意のコードを実行したりする場合があります。注意:情報漏洩の問題が他の欠陥と結び付いて、任意のコードが実行されることがあります。(CVE-2012-3986、CVE-2012-3991)

Firefox の Location オブジェクトの実装に複数の欠陥が見つかりました。悪意のあるコンテンツが利用されて、クロスサイトスクリプティング攻撃、スクリプトインジェクション、なりすまし攻撃が実行されることがあります。
(CVE-2012-1956、 CVE-2012-3992、CVE-2012-3994)

Chrome オブジェクトラッパーが実装する方法で、2 つの欠陥が見つかりました。悪意のあるコンテンツが利用されて、クロスサイトスクリプティング攻撃、Firefox による任意のコードの実行が行われることがあります。
(CVE-2012-3993、CVE-2012-4184)

これらの欠陥の技術的な詳細については、Firefox 10.0.8 ESR 向けの Mozilla セキュリティアドバイザリを参照してください。

この更新では以下のバグも修正されます。

- たとえばホームディレクトリが NFS 共有にあるなどの特定の環境で、パーソナルな Firefox 構成ファイル(~/.mozilla/)を NFS 共有に保存すると、Firefox の機能の一貫性がなくなり、たとえば、ナビゲーションボタンが期待通りに動作しなかったり、ブックマークが保存されなかったりします。この更新で、この問題を解決するために使用される、新しい構成オプションである storage.nfs_filesystem が追加されています。

この問題が発生する場合:

1) Firefox を起動します。

2) URL バーで「about:config」(引用符は不要)と入力し、Enter キーを押します。

3)「この操作で、保証が無効になる可能性があります!」と表示されたら、「確認しました!」ボタンをクリックします。

4) 「プリファレンス名」リストを右クリックします。表示されるメニューで、新規を選択 -> Boolean の順番で選択します。

5) 設定名としての「storage.nfs_filesystem」(引用符なし)と入力してから、[OK] ボタンをクリックします。

6) ブーリアン値に対して [true] を選択してから、[OK] ボタンをクリックします。

更新をインストールした後、変更した内容を反映させるには Firefox を再起動する必要があります。

ソリューション

影響を受ける firefox、xulrunner、および xulrunner-devel パッケージを更新してください。

参考資料

http://www.nessus.org/u?14219b9c

プラグインの詳細

深刻度: Critical

ID: 62492

ファイル名: sl_20121009_firefox_on_SL5_x.nasl

バージョン: 1.14

タイプ: local

エージェント: unix

公開日: 2012/10/11

更新日: 2021/1/14

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 8.9

CVSS v2

リスクファクター: Critical

基本値: 10

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

脆弱性情報

CPE: p-cpe:/a:fermilab:scientific_linux:firefox, p-cpe:/a:fermilab:scientific_linux:xulrunner, p-cpe:/a:fermilab:scientific_linux:xulrunner-devel, x-cpe:/o:fermilab:scientific_linux

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2012/10/9

脆弱性公開日: 2012/8/29

エクスプロイト可能

Metasploit (Firefox 5.0 - 15.0.1 __exposedProps__ XCS Code Execution)

参照情報

CVE: CVE-2012-1956, CVE-2012-3982, CVE-2012-3986, CVE-2012-3988, CVE-2012-3990, CVE-2012-3991, CVE-2012-3992, CVE-2012-3993, CVE-2012-3994, CVE-2012-3995, CVE-2012-4179, CVE-2012-4180, CVE-2012-4181, CVE-2012-4182, CVE-2012-4183, CVE-2012-4184, CVE-2012-4185, CVE-2012-4186, CVE-2012-4187, CVE-2012-4188