RHEL 6:firefox(RHSA-2013:0696)
medium Nessus プラグイン ID 65780
Language:
概要
リモートの Red Hat ホストに 1 つ以上の firefox 用セキュリティ更新プログラムがありません。説明
リモート Redhat Enterprise Linux 6 ホストに、RHSA-2013:0696 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。Mozilla Firefox は、オープンソースのウェブブラウザです。XULRunner は、Mozilla Firefox 用の XUL Runtime 環境を提供しています。
不正な形式のウェブコンテンツの処理にさまざまな欠陥が見つかりました。悪意のあるコンテンツを掲載するウェブページは、Firefox がクラッシュする原因となったり、ある特定の状況において、Firefox を実行しているユーザーの権限で、任意のコードが実行される可能性があります。(CVE-2013-0788)
Firefox で同一オリジンラッパーが実装される方法で欠陥が見つかりました。悪質なサイトがこの欠陥を悪用して、同一生成元ポリシーをバイパスし、Firefox を実行しているユーザーの権限で任意のコードを実行する可能性があります。(CVE-2013-0795)
Firefox の埋め込み式 WebGL ライブラリに欠陥が見つかりました。悪意のあるコンテンツを含むWebページが、Firefoxをクラッシュさせたり、Firefoxを実行しているユーザーの権限で任意のコードを実行したりする可能性があります。
注意: この問題は、Intel Mesa グラフィックスドライバーを使用しているシステムにしか影響を与えませんでした。(CVE-2013-0796)
Firefox の埋め込み式 Cairo ライブラリで範囲外書込み欠陥が見つかりました。悪意のあるコンテンツを掲載するウェブページは、Firefox がクラッシュする原因となったり、ある特定の状況において、Firefox を実行しているユーザーの権限で、任意のコードが実行される可能性があります。(CVE-2013-0800)
JavaScript の履歴機能を Firefox が処理する方法に欠陥が見つかりました。悪質なサイトが別のサイトを指し示す baseURI を持つウェブページを表示させる可能性があります。これにより、クロスサイトスクリプティング (XSS) とフィッシング攻撃が引き起こされる可能があります。(CVE-2013-0793)
Red Hat は、これらの問題を報告してくれた Mozilla プロジェクトに感謝の意を表します。
Upstream は、Olli Pettay、Jesse Ruderman、Boris Zbarsky、Christian Holler、Milan Sreckovic、Joe Drew、Cody Crews、 miaubiz、Abhishek Arya、Mariusz Mlynski を、これらの課題のオリジナルレポーターとして認めています。
これら欠陥の技術的な詳細については、Firefox 17.0.5 ESR 向けの Mozilla セキュリティアドバイザリを参照してください。Mozilla アドバイザリへのリンクは、このエラータの「参照」セクションにあります。
Firefox の全ユーザーは、Firefox バージョン 17.0.5 ESR が含まれるこれらの更新済みのパッケージへアップグレードし、これらの問題を修正する必要があります。更新をインストールした後、変更した内容を反映させるには Firefox を再起動する必要があります。
Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
RHEL firefox パッケージを、RHSA-2013:0696 のガイダンスに基づいて更新してください。参考資料
http://www.mozilla.org/security/known-vulnerabilities/firefoxESR.html
http://www.nessus.org/u?49560a19
https://access.redhat.com/errata/RHSA-2013:0696
https://access.redhat.com/security/updates/classification/#critical
https://bugzilla.redhat.com/show_bug.cgi?id=946927
https://bugzilla.redhat.com/show_bug.cgi?id=946929
https://bugzilla.redhat.com/show_bug.cgi?id=946931
プラグインの詳細
深刻度: Medium
ID: 65780
ファイル名: redhat-RHSA-2013-0696.nasl
バージョン: 1.21
タイプ: local
エージェント: unix
公開日: 2013/4/3
更新日: 2025/4/15
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
Vendor
Vendor Severity: Critical
CVSS v2
リスクファクター: Critical
基本値: 10
現状値: 7.8
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS スコアのソース: CVE-2013-0796
CVSS v3
リスクファクター: Medium
基本値: 6.1
現状値: 5.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
CVSS スコアのソース: CVE-2013-0793
脆弱性情報
CPE: cpe:/o:redhat:enterprise_linux:5, p-cpe:/a:redhat:enterprise_linux:xulrunner, cpe:/o:redhat:enterprise_linux:6, p-cpe:/a:redhat:enterprise_linux:xulrunner-devel, p-cpe:/a:redhat:enterprise_linux:firefox
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2013/4/2
脆弱性公開日: 2013/4/3
参照情報
CVE: CVE-2013-0788, CVE-2013-0793, CVE-2013-0795, CVE-2013-0796, CVE-2013-0800
BID: 58818