RHEL 6:firefox(RHSA-2013:0696)

medium Nessus プラグイン ID 65780

概要

リモートの Red Hat ホストに 1 つ以上の firefox 用セキュリティ更新プログラムがありません。

説明

リモート Redhat Enterprise Linux 6 ホストに、RHSA-2013:0696 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

Mozilla Firefox は、オープンソースのウェブブラウザです。XULRunner は、Mozilla Firefox 用の XUL Runtime 環境を提供しています。

不正な形式のウェブコンテンツの処理にさまざまな欠陥が見つかりました。悪意のあるコンテンツを掲載するウェブページは、Firefox がクラッシュする原因となったり、ある特定の状況において、Firefox を実行しているユーザーの権限で、任意のコードが実行される可能性があります。(CVE-2013-0788)

Firefox で同一オリジンラッパーが実装される方法で欠陥が見つかりました。悪質なサイトがこの欠陥を悪用して、同一生成元ポリシーをバイパスし、Firefox を実行しているユーザーの権限で任意のコードを実行する可能性があります。(CVE-2013-0795)

Firefox の埋め込み式 WebGL ライブラリに欠陥が見つかりました。悪意のあるコンテンツを含むWebページが、Firefoxをクラッシュさせたり、Firefoxを実行しているユーザーの権限で任意のコードを実行したりする可能性があります。
注意: この問題は、Intel Mesa グラフィックスドライバーを使用しているシステムにしか影響を与えませんでした。(CVE-2013-0796)

Firefox の埋め込み式 Cairo ライブラリで範囲外書込み欠陥が見つかりました。悪意のあるコンテンツを掲載するウェブページは、Firefox がクラッシュする原因となったり、ある特定の状況において、Firefox を実行しているユーザーの権限で、任意のコードが実行される可能性があります。(CVE-2013-0800)

JavaScript の履歴機能を Firefox が処理する方法に欠陥が見つかりました。悪質なサイトが別のサイトを指し示す baseURI を持つウェブページを表示させる可能性があります。これにより、クロスサイトスクリプティング (XSS) とフィッシング攻撃が引き起こされる可能があります。(CVE-2013-0793)

Red Hat は、これらの問題を報告してくれた Mozilla プロジェクトに感謝の意を表します。
Upstream は、Olli Pettay、Jesse Ruderman、Boris Zbarsky、Christian Holler、Milan Sreckovic、Joe Drew、Cody Crews、 miaubiz、Abhishek Arya、Mariusz Mlynski を、これらの課題のオリジナルレポーターとして認めています。

これら欠陥の技術的な詳細については、Firefox 17.0.5 ESR 向けの Mozilla セキュリティアドバイザリを参照してください。Mozilla アドバイザリへのリンクは、このエラータの「参照」セクションにあります。

Firefox の全ユーザーは、Firefox バージョン 17.0.5 ESR が含まれるこれらの更新済みのパッケージへアップグレードし、これらの問題を修正する必要があります。更新をインストールした後、変更した内容を反映させるには Firefox を再起動する必要があります。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

RHEL firefox パッケージを、RHSA-2013:0696 のガイダンスに基づいて更新してください。

参考資料

http://www.mozilla.org/security/known-vulnerabilities/firefoxESR.html

http://www.nessus.org/u?49560a19

https://access.redhat.com/errata/RHSA-2013:0696

https://access.redhat.com/security/updates/classification/#critical

https://bugzilla.redhat.com/show_bug.cgi?id=946927

https://bugzilla.redhat.com/show_bug.cgi?id=946929

https://bugzilla.redhat.com/show_bug.cgi?id=946931

https://bugzilla.redhat.com/show_bug.cgi?id=946932

https://bugzilla.redhat.com/show_bug.cgi?id=946935

プラグインの詳細

深刻度: Medium

ID: 65780

ファイル名: redhat-RHSA-2013-0696.nasl

バージョン: 1.21

タイプ: local

エージェント: unix

公開日: 2013/4/3

更新日: 2025/4/15

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

Vendor

Vendor Severity: Critical

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.8

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2013-0796

CVSS v3

リスクファクター: Medium

基本値: 6.1

現状値: 5.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

CVSS スコアのソース: CVE-2013-0793

脆弱性情報

CPE: cpe:/o:redhat:enterprise_linux:5, p-cpe:/a:redhat:enterprise_linux:xulrunner, cpe:/o:redhat:enterprise_linux:6, p-cpe:/a:redhat:enterprise_linux:xulrunner-devel, p-cpe:/a:redhat:enterprise_linux:firefox

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2013/4/2

脆弱性公開日: 2013/4/3

参照情報

CVE: CVE-2013-0788, CVE-2013-0793, CVE-2013-0795, CVE-2013-0796, CVE-2013-0800

BID: 58818

CWE: 787, 79

RHSA: 2013:0696