Ubuntu 10.04 LTS / 11.10 / 12.04 LTS / 12.10:firefox 脆弱性(USN-1729-1)

critical Nessus プラグイン ID 64698

概要

リモート Ubuntu ホストにセキュリティ関連パッチがありません。

説明

Olli Pettay 氏、Christoph Diehl 氏、Gary Kwong 氏、Jesse Ruderman 氏、 Andrew McCreight 氏、Joe Drew 氏、Wayne Mery 氏、Alon Zakai 氏、 Christian Holler 氏、Gary Kwong 氏、Luke Wagner 氏、Terrence Cole 氏、 Timothy Nikkel 氏、Bill McCloskey 氏、Nicolas Pierron 氏が、Firefox が影響を受ける、メモリの安全上の複数の問題を発見しました。ユーザーがトリックにかけられ、特別に細工されたページを開いた場合、攻撃者がこれを悪用して、アプリケーションクラッシュを通じてサービス拒否を引き起こすことが可能でした。(CVE-2013-0783、 CVE-2013-0784)

Atte Kettunen 氏は、GIF 形式画像のレンダリング中に Firefox が領域外読み取りを実行する可能性があることを発見しました。攻撃者がこれを悪用して、Firefox をクラッシュさせる可能性があります。(CVE-2013-0772)

Boris Zbarsky 氏は、Firefox が一部のラップされた WebIDL オブジェクトを適切に処理しないことを発見しました。ユーザーが騙されて特別に細工されたページを開くと、攻撃者は、これを悪用して、アプリケーションクラッシュを介しサービス拒否を発生させたり、 Firefox を呼び出すユーザーの権限でコードを実行したりする可能性があります。
(CVE-2013-0765)

Bobby Holley 氏は、Chrome Object Wrappers(COW)と System Only Wrappers(SOW)における脆弱性を発見しました。ユーザーが騙されて、特別に細工されたページを開いた場合、リモートの攻撃者がこれを悪用して、機密情報を取得するためにセキュリティ保護をバイパスしたり、Firefox を呼び出すユーザーの権限でコードを実行したりする可能性があります。(CVE-2013-0773)

Frederik Braun 氏は、Firefox がアクティブなブラウザのプロファイルの場所を JavaScript ワーカーに利用可能にすることを発見しました。(CVE-2013-0774)

Firefox に use-after-free の脆弱性が発見されました。攻撃者がこれを悪用して、Firefox を起動しているユーザーの権限でコードを実行する可能性があります。(CVE-2013-0775)

Michal Zalewski 氏は、プロキシ認証プロンプトのキャンセル時に Firefox が必ずしも正しいアドレスを表示するとは限らないことを発見しました。リモートの攻撃者が、これを悪用し、URL のなりすましやフィッシング攻撃を行う可能性があります。(CVE-2013-0776)

Abhishek Arya 氏は、メモリ処理に関連するいくつかの問題を発見しました。
ユーザーが騙されて特別に細工されたページを開くと、攻撃者は、これらを悪用して、アプリケーションクラッシュを介しサービス拒否を発生させたり、 Firefox を呼び出すユーザーの権限でコードを実行したりする可能性があります。(CVE-2013-0777、CVE-2013-0778、 CVE-2013-0779、CVE-2013-0780、CVE-2013-0781、CVE-2013-0782)

ソリューション

影響を受ける firefox パッケージを更新してください。

参考資料

https://usn.ubuntu.com/1729-1/

プラグインの詳細

深刻度: Critical

ID: 64698

ファイル名: ubuntu_USN-1729-1.nasl

バージョン: 1.12

タイプ: local

エージェント: unix

公開日: 2013/2/20

更新日: 2019/9/19

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Critical

Base Score: 10

Temporal Score: 7.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

脆弱性情報

CPE: p-cpe:/a:canonical:ubuntu_linux:firefox, cpe:/o:canonical:ubuntu_linux:10.04:-:lts, cpe:/o:canonical:ubuntu_linux:11.10, cpe:/o:canonical:ubuntu_linux:12.04:-:lts, cpe:/o:canonical:ubuntu_linux:12.10

必要な KB アイテム: Host/cpu, Host/Debian/dpkg-l, Host/Ubuntu, Host/Ubuntu/release

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2013/2/19

脆弱性公開日: 2013/2/19

参照情報

CVE: CVE-2013-0765, CVE-2013-0772, CVE-2013-0773, CVE-2013-0774, CVE-2013-0775, CVE-2013-0776, CVE-2013-0777, CVE-2013-0778, CVE-2013-0779, CVE-2013-0780, CVE-2013-0781, CVE-2013-0782, CVE-2013-0783, CVE-2013-0784

USN: 1729-1