Firefox < 10.0.11 複数の脆弱性(Mac OS X)

critical Nessus プラグイン ID 62993

概要

リモートの Mac OS X ホストに、複数の脆弱性により影響を受ける Web ブラウザがあります。

説明

インストールされている Firefox のバージョンが 10.0.11 より前であるため、以下のセキュリティ問題の影響を受けます:

- Mozilla ベースの製品で使用されているブラウザエンジンにいくつかのメモリ安全性のバグが存在します。これが悪用されて、任意のコードが実行される可能性があります。(CVE-2012-5843)

- GIF 画像に関連するメソッド「image::RasterImage::DrawFrameTo」にヒープベースのバッファオーバーフローを引き起こすエラーがあり、任意のコードの実行を引き起こす可能性があります。(CVE-2012-4202)

- 「evalInSandbox」、「HZ-GB-2312」charset、フレームおよび「location」オブジェクト、「Style Inspector」、「クロス生成元ラッパー」にエラーがあり、クロスサイトスクリプティング(XSS)攻撃になる可能性があります。(CVE-2012-4201、CVE-2012-4207、CVE-2012-4209、 CVE-2012-4210、CVE-2012-5841)

- さまざまな use-after-free、領域外読み取り、バッファオーバーフローのエラーがあり、任意のコードの実行を引き起こす可能性があります。(CVE-2012-4214、CVE-2012-4215、CVE-2012-4216、CVE-2012-5829、CVE-2012-5830、CVE-2012-5833、CVE-2012-5835、CVE-2012-5839、CVE-2012-5840)

注意:2013 年 2 月 13 日の時点で、10.x ESR ブランチがサポートされない。
この日付以降、セキュリティ更新を受け取れるのは、 17.x ESR ブランチだけです。

ソリューション

Firefox 10.0.11 ESR 以降にアップグレードしてください。

参考資料

https://www.mozilla.org/en-US/security/advisories/mfsa2012-92/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-93/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-100/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-101/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-103/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-104/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-105/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-106/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-91/

プラグインの詳細

深刻度: Critical

ID: 62993

ファイル名: macosx_firefox_10_0_11.nasl

バージョン: 1.18

タイプ: local

エージェント: macosx

公開日: 2012/11/21

更新日: 2019/12/4

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.8

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2012-5843

脆弱性情報

CPE: cpe:/a:mozilla:firefox

必要な KB アイテム: MacOSX/Firefox/Installed

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2012/11/20

脆弱性公開日: 2012/11/20

参照情報

CVE: CVE-2012-4201, CVE-2012-4202, CVE-2012-4207, CVE-2012-4209, CVE-2012-4210, CVE-2012-4214, CVE-2012-4215, CVE-2012-4216, CVE-2012-5829, CVE-2012-5830, CVE-2012-5833, CVE-2012-5835, CVE-2012-5839, CVE-2012-5840, CVE-2012-5841, CVE-2012-5843

BID: 56612, 56614, 56618, 56628, 56629, 56631, 56632, 56633, 56634, 56635, 56636, 56637, 56641, 56642, 56643, 56646

CWE: 20, 442, 629, 711, 712, 722, 725, 74, 750, 751, 79, 800, 801, 809, 811, 864, 900, 928, 931, 990