Firefox < 17.0 複数の脆弱性

critical Nessus プラグイン ID 62998
New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモート Windows ホストに含まれる Web ブラウザは複数の脆弱性の影響を受けます。

説明

インストールされている Firefox のバージョンが 17.0 より前であるため、以下のセキュリティ問題の影響を受ける可能性があります:

- Mozilla ベースの製品で使用されているブラウザエンジンにいくつかのメモリ安全性のバグがあり、任意のコードが実行される可能性があります。(CVE-2012-5842、CVE-2012-5843)

- GIF 画像に関連するメソッド「image::RasterImage::DrawFrameTo」にヒープベースのバッファオーバーフローを引き起こすエラーがあり、任意のコードの実行につながる可能性があります。(CVE-2012-4202)

- SVG テキストおよび CSS プロパティにアプリケーションのクラッシュを引き起こす可能性があるエラーが存在します。(CVE-2012-5836)

- ブックマークされた、悪意のある「javascript:」URL により、ローカルの実行ファイルが実行される可能性があります。(CVE-2012-4203)

- JavaScript 関数「str_unescape」によって、任意のコードが実行される可能性があります。(CVE-2012-4204)

- サンドボックスでの作成時に、「XMLHttpRequest」オブジェクトが間違ったプリンシパルを継承し、これが、クロスサイトリクエスト偽造攻撃(CSRF)を引き起こす可能性があります。(CVE-2012-4205)

- アプリケーションインストーラーおよび DLL ロードに関するエラーが存在します。(CVE-2012-4206)

- 「XrayWrappers」が、chrome コンパートメントの外部ではアクセスできないはずの DOM プロパティを露出させる可能性があります。(CVE-2012-4208)

- 「evalInSandbox」、「HZ-GB-2312」charset、フレームおよび「location」オブジェクト、「Style Inspector」、「開発ツールバー」、ならびに「cross-origin ラッパー」に関連するエラーが存在し、クロスサイトスクリプティング(XSS)攻撃を引き起こす可能性があります。(CVE-2012-4201、 CVE-2012-4207、CVE-2012-4209、CVE-2012-4210、 CVE-2012-5837、CVE-2012-5841)

- さまざまな use-after-free、領域外読み取り、バッファオーバーフローのエラーがあり、任意のコードの実行を引き起こす可能性があります。(CVE-2012-4212、CVE-2012-4213、 CVE-2012-4214、CVE-2012-4215、CVE-2012-4216、 CVE-2012-4217、CVE-2012-4218、CVE-2012-5829、 CVE-2012-5830、CVE-2012-5833、CVE-2012-5835、 CVE-2012-5838、CVE-2012-5839、CVE-2012-5840)

ソリューション

Firefox 17.0 以降にアップグレードしてください。

関連情報

https://www.mozilla.org/en-US/security/advisories/mfsa2012-91/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-92/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-93/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-94/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-95/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-96/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-97/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-98/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-99/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-100/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-101/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-102/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-103/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-104/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-105/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-106/

プラグインの詳細

深刻度: Critical

ID: 62998

ファイル名: mozilla_firefox_170.nasl

バージョン: 1.18

タイプ: local

エージェント: windows

ファミリー: Windows

公開日: 2012/11/21

更新日: 2019/12/4

依存関係: mozilla_org_installed.nasl

リスク情報

CVSS スコアのソース: CVE-2012-5843

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Critical

Base Score: 10

Temporal Score: 7.8

ベクトル: AV:N/AC:L/Au:N/C:C/I:C/A:C

現状ベクトル: E:POC/RL:OF/RC:C

脆弱性情報

CPE: cpe:/a:mozilla:firefox

必要な KB アイテム: Mozilla/Firefox/Version

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2012/11/20

脆弱性公開日: 2012/11/20

参照情報

CVE: CVE-2012-4201, CVE-2012-4202, CVE-2012-4203, CVE-2012-4204, CVE-2012-4205, CVE-2012-4206, CVE-2012-4207, CVE-2012-4208, CVE-2012-4209, CVE-2012-4210, CVE-2012-4212, CVE-2012-4213, CVE-2012-4214, CVE-2012-4215, CVE-2012-4216, CVE-2012-4217, CVE-2012-4218, CVE-2012-5829, CVE-2012-5830, CVE-2012-5833, CVE-2012-5835, CVE-2012-5836, CVE-2012-5837, CVE-2012-5838, CVE-2012-5839, CVE-2012-5840, CVE-2012-5841, CVE-2012-5842, CVE-2012-5843

BID: 56611, 56612, 56613, 56614, 56616, 56618, 56621, 56623, 56625, 56627, 56628, 56629, 56630, 56631, 56632, 56633, 56634, 56635, 56636, 56637, 56638, 56639, 56640, 56641, 56642, 56643, 56644, 56645, 56646

CWE: 20, 74, 79, 442, 629, 711, 712, 722, 725, 750, 751, 800, 801, 809, 811, 864, 900, 928, 931, 990