SuSE 10 セキュリティ更新:Mozilla Firefox(ZYPP パッチ番号 8348)
medium Nessus プラグイン ID 62780
Language:
概要
リモート SuSE 10 ホストにセキュリティ関連のパッチがありません。説明
Mozilla Firefox は、10.0.10ESR セキュリティリリースに更新されました。以下の問題が修正されました。
- Mozilla は、全体的なセキュリティを強化するために、 Location オブジェクトに関連する多数の問題を修正しました。
最近修正されたそれぞれの問題の詳細は以下の通りです。
(MFSA 2012-90)
Thunderbird は、Web コンテンツをロードする RSS フィードおよび拡張機能を介する window.location の問題の影響のみを受けます。
- セキュリティ研究者の Mariusz Mlynski 氏は、window.location の true(真)の値が、valueOf メソッドを使用することでユーザーコンテンツによってシャドー化され、これが一部のプラグインと共同してユーザーへのクロスサイトスクリプティング(XSS)攻撃が行われる可能性があることを報告しました。(CVE-2012-4194)
- Mozilla セキュリティ研究者 moz_bug_r_a4 は、window.location の CheckURL 関数が、不適切な呼び出しドキュメントおよびプリンシパルを返すよう強制され、これによってクロスサイトスクリプティング(XSS)攻撃が可能になることを発見しました。また、攻撃者が、ページコンテンツと相互作用するアドオンを利用できた場合、任意のコードが実行される可能性もあります。(CVE-2012-4195)
- INRIA Paris の PROSECCO 研究チームのセキュリティ研究者 Antoine Delignat-Lavaud 氏は、プロトタイプによるプロパティ注入機能により Location オブジェクトでセキュリティラッパー保護がバイパスされ、これによって Location オブジェクトのクロスオリジンの読み取りが可能になることを報告しました。(CVE-2012-4196)
ソリューション
ZYPP パッチ番号 8348 を適用してください。参考資料
https://www.mozilla.org/en-US/security/advisories/mfsa2012-90/
http://support.novell.com/security/cve/CVE-2012-4194.html
プラグインの詳細
深刻度: Medium
ID: 62780
ファイル名: suse_firefox-201210b-8348.nasl
バージョン: 1.6
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2012/11/1
更新日: 2021/1/19
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: Medium
基本値: 5.1
ベクトル: CVSS2#AV:N/AC:H/Au:N/C:P/I:P/A:P
脆弱性情報
CPE: cpe:/o:suse:suse_linux
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
パッチ公開日: 2012/10/29
脆弱性公開日: 2012/10/29