Ubuntu 6.06 LTS:firefox 脆弱性(USN-645-2)
critical Nessus プラグイン ID 65110
Language:
概要
リモート Ubuntu ホストに 1 つ以上のセキュリティ関連パッチがありません。説明
USN-645-1 によって、Ubuntu 7.04、7.10、8.04 LTS における Firefox および xulrunner の脆弱性が修正されました。この更新は、Ubuntu 6.06 LTS に対応する更新を提供します。Justin Schuh 氏、Tom Cross 氏、Peter Williams 氏は Firefox の URL 解析ルーチンにおけるエラーを発見しました。ユーザーが騙されて、特別に細工されたハイパーリンクを開いた場合、攻撃者は、スタックバッファをオーバーフローさせたり、任意のコードを実行したりする可能性があります。(CVE-2008-0016)
Firefox の同一生成元チェックはバイパスできることが判明しました。ユーザーが騙されて、悪意のある Web サイトを開いた場合、攻撃者は他の Web サイトのコンテキストで JavaScript を実行する可能性があります。
(CVE-2008-3835)
JavaScript エンジンで、いくつかの問題が発見されました。
これにより、攻撃者は chrome の権限でページコンテンツからのスクリプトを実行する可能性があります。(CVE-2008-3836)
Paul Nickerson 氏は Firefox がマウスクリックイベントを適切に処理していなかったことを発見しました。ユーザーが騙されて、悪意のある Web ページを開いた場合、攻撃者はコンテンツウィンドウを移動し、ユーザーに意図しないドラッグアンドドロップを実行させる可能性があります。(CVE-2008-3837)
ブラウザエンジンで、いくつかの問題が発見されました。これにより、攻撃者が chrome の権限でコードを実行する可能性があります。(CVE-2008-4058、 CVE-2008-4059、CVE-2008-4060)
Drew Yao 氏、David Maciejak 氏、そしてその他の Mozilla 開発者は Firefox のブラウザエンジンにいくつかの問題を見つけました。ユーザーが騙されて、悪意のある Web ページを開いた場合、攻撃者はサービス拒否を引き起こしたり、プログラムを起動しているユーザーの権限を使用して任意のコードを実行したりする可能性があります。(CVE-2008-4061、CVE-2008-4062、CVE-2008-4063、 CVE-2008-4064)
Dave Reed 氏は、特定の BOM 文字を処理する場合の JavaScript の解析コードの欠陥を発見しました。攻撃者はこれを悪用し、スクリプトフィルターをバイパスしてクロスサイトスクリプティング攻撃を実行する可能性があります。(CVE-2008-4065)
Gareth Heyes 氏は、Firefox の HTML パーサーに欠陥を発見しました。ユーザーが騙されて、悪意のある Web ページを開いた場合、攻撃者はスクリプトフィルターをバイパスし、クロスサイトスクリプティング攻撃を実行する可能性があります。(CVE-2008-4066)
Boris Zbarsky 氏および Georgi Guninski 氏はそれぞれ、resource: protocol の欠陥を発見しました。攻撃者はこれを悪用し、ディレクトリトラバーサル、システムに関する情報の読み取り、ユーザーに対するファイル内の情報の保存要求を実行する可能性があります。(CVE-2008-4067、 CVE-2008-4068)
Billy Hoffman 氏は、XBM デコーダー内の問題を発見しました。ユーザーが騙されて、悪意のある Web ページあるいは XBM ファイルを開いた場合、攻撃者はアプリケーションクラッシュを介してサービス拒否を引き起こす可能性があります。(CVE-2008-4069)。
ソリューション
影響を受けるパッケージを更新してください。参考資料
プラグインの詳細
深刻度: Critical
ID: 65110
ファイル名: ubuntu_USN-645-2.nasl
バージョン: 1.9
タイプ: local
エージェント: unix
ファミリー: Ubuntu Local Security Checks
公開日: 2013/3/9
更新日: 2021/1/19
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: High
スコア: 7.4
CVSS v2
リスクファクター: Critical
基本値: 10
現状値: 8.3
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
脆弱性情報
CPE: p-cpe:/a:canonical:ubuntu_linux:firefox, p-cpe:/a:canonical:ubuntu_linux:firefox-dbg, p-cpe:/a:canonical:ubuntu_linux:firefox-dev, p-cpe:/a:canonical:ubuntu_linux:firefox-dom-inspector, p-cpe:/a:canonical:ubuntu_linux:firefox-gnome-support, p-cpe:/a:canonical:ubuntu_linux:libnspr-dev, p-cpe:/a:canonical:ubuntu_linux:libnspr4, p-cpe:/a:canonical:ubuntu_linux:libnss-dev, p-cpe:/a:canonical:ubuntu_linux:libnss3, p-cpe:/a:canonical:ubuntu_linux:mozilla-firefox, p-cpe:/a:canonical:ubuntu_linux:mozilla-firefox-dev, cpe:/o:canonical:ubuntu_linux:6.06:-:lts
必要な KB アイテム: Host/cpu, Host/Debian/dpkg-l, Host/Ubuntu, Host/Ubuntu/release
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2008/9/24
エクスプロイト可能
CANVAS (CANVAS)
Core Impact
参照情報
CVE: CVE-2008-0016, CVE-2008-3835, CVE-2008-3836, CVE-2008-3837, CVE-2008-4058, CVE-2008-4059, CVE-2008-4060, CVE-2008-4061, CVE-2008-4062, CVE-2008-4063, CVE-2008-4064, CVE-2008-4065, CVE-2008-4066, CVE-2008-4067, CVE-2008-4068, CVE-2008-4069
BID: 31346