SuSE 11.2 セキュリティ更新:Mozilla Firefox(SAT パッチ番号 7004)
medium Nessus プラグイン ID 64134
Language:
概要
リモート SuSE 11 ホストに1つ以上のセキュリティ更新がありません。説明
Mozilla Firefox は、10.0.10ESR セキュリティリリースに更新されています。以下の問題が修正されました:
- Mozilla は、全体的なセキュリティを強化するために、 Location オブジェクトに関連する多数の問題を修正しました。
最近修正されたそれぞれの問題の詳細は以下の通りです。
(MFSA 2012-90)
Thunderbird は、Web コンテンツをロードする RSS フィードおよび拡張機能を介する window.location の問題の影響のみを受けます。
- セキュリティ研究者の Mariusz Mlynski 氏は、window.location の true(真)の値が、valueOf メソッドを使用することでユーザーコンテンツによってシャドー化され、これが一部のプラグインと共同してユーザーへのクロスサイトスクリプティング(XSS)攻撃が行われる可能性があることを報告しました。(CVE-2012-4194)
- Mozilla セキュリティ研究者 moz_bug_r_a4 は、window.location の CheckURL 関数が、不適切な呼び出しドキュメントおよびプリンシパルを返すよう強制され、これによってクロスサイトスクリプティング(XSS)攻撃が可能になることを発見しました。また、攻撃者が、ページコンテンツと相互作用するアドオンを利用できた場合、任意のコードが実行される可能性もあります。(CVE-2012-4195)
- INRIA Paris の PROSECCO 研究チームのセキュリティ研究者 Antoine Delignat-Lavaud 氏は、プロトタイプによるプロパティ注入機能により Location オブジェクトでセキュリティラッパー保護がバイパスされ、これによって Location オブジェクトのクロスオリジンの読み取りが可能になることを報告しました。(CVE-2012-4196)
ソリューション
SAT パッチ番号 7004 を適用してください。参考資料
http://www.mozilla.org/security/announce/2012/mfsa2012-90.html
https://bugzilla.novell.com/show_bug.cgi?id=786522
http://support.novell.com/security/cve/CVE-2012-4194.html
プラグインの詳細
深刻度: Medium
ID: 64134
ファイル名: suse_11_firefox-201210b-121029.nasl
バージョン: 1.4
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2013/1/25
更新日: 2021/1/19
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: Medium
基本値: 5.1
ベクトル: CVSS2#AV:N/AC:H/Au:N/C:P/I:P/A:P
脆弱性情報
CPE: p-cpe:/a:novell:suse_linux:11:mozillafirefox, p-cpe:/a:novell:suse_linux:11:mozillafirefox-translations, p-cpe:/a:novell:suse_linux:11:mozilla-nspr, p-cpe:/a:novell:suse_linux:11:mozilla-nspr-32bit, cpe:/o:novell:suse_linux:11
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
パッチ公開日: 2012/10/29