Ubuntu 12.04 LTS / 12.10 LTS / 13.04 / 13.10：Firefox の脆弱性（USN-2009-1）

critical Nessus プラグイン ID 70698

Language:

概要

リモート Ubuntu ホストにセキュリティ関連パッチがありません。

説明

複数のメモリの安全性に関する問題が Firefox で発見されました。ユーザーをだまして特別に細工されたページを開かせると、攻撃者は、これを悪用して、アプリケーションをクラッシュさせ、サービス拒否を引き起こすことや、Firefox を起動しているユーザーの権限で任意のコードを実行する可能性があります。（CVE-2013-1739、CVE-2013-5590、CVE-2013-5591、 CVE-2013-5592）

Jordi Chancel 氏は、HTML 選択要素が任意のコンテンツを表示する可能性があることを発見しました。攻撃者がこれを悪用し、URL のなりすましまたはクリックジャッキング攻撃を行う可能性があります（CVE-2013-5593）

Abhishek Arya 氏は、ある状況において、XSLT データを処理する際にクラッシュが発生することを発見しました。攻撃者は、これを悪用して、Firefox を起動しているユーザーの権限で任意のコードを実行する可能性があります。
(CVE-2013-5604)

Dan Gohman 氏は、JavaScript エンジンに欠陥があることを発見しました。他の脆弱性と組み合わせることで、攻撃者がこれを悪用して、Firefox を起動しているユーザーの権限で任意のコードを実行する可能性があります。(CVE-2013-5595)

Ezra Pool 氏は、極端に大きなページでクラッシュが発生することを発見しました。攻撃者は、これを悪用して、Firefox を起動しているユーザーの権限で任意のコードを実行する可能性があります。(CVE-2013-5596)

Byoungyoung Lee 氏は、オフラインキャッシュを更新する際に use-after-free があることを発見しました。攻撃者が、これを悪用して、アプリケーションのクラッシュによりサービス拒否を引き起こしたり、 Firefox を起動しているユーザーの権限で任意のコードを実行したりする可能性があります。(CVE-2013-5597)

Cody Crews 氏は、iframe を PDF.js で表示されている組み込み PDF オブジェクトに付加する方法を発見しました。攻撃者がこれを悪用して、ローカルファイルを読み取ることで、情報漏洩させる可能性があります。
(CVE-2013-5598)

Firefox で複数の use-after-free 欠陥が見つかりました。攻撃者は、これらを悪用して、アプリケーションのクラッシュによりサービス拒否を引き起こしたり、Firefox を起動しているユーザーの権限で任意のコードを実行する可能性があります。（CVE-2013-5599、 CVE-2013-5600、CVE-2013-5601）

ダイレクトプロキシでワーカーを使用する際に、JavaScript エンジンにメモリ破損の欠陥があることが発見されました。攻撃者が、これを悪用して、アプリケーションのクラッシュによりサービス拒否を引き起こしたり、 Firefox を起動しているユーザーの権限で任意のコードを実行したりする可能性があります。(CVE-2013-5602)

Abhishek Arya 氏は、HTML ドキュメントテンプレートと相互作用する際に use-after-free があることを発見しました。攻撃者が、これを悪用して、アプリケーションのクラッシュによりサービス拒否を引き起こしたり、 Firefox を起動しているユーザーの権限で任意のコードを実行したりする可能性があります。（CVE-2013-5603）。

ソリューション

影響を受ける firefox パッケージを更新してください。

参考資料

https://usn.ubuntu.com/2009-1/

プラグインの詳細

深刻度: Critical

ID: 70698

ファイル名: ubuntu_USN-2009-1.nasl

バージョン: 1.14

タイプ: local

エージェント: unix

ファミリー: Ubuntu Local Security Checks

公開日: 2013/10/30

更新日: 2019/9/19

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

脆弱性情報

CPE: p-cpe:/a:canonical:ubuntu_linux:firefox, cpe:/o:canonical:ubuntu_linux:12.04:-:lts, cpe:/o:canonical:ubuntu_linux:12.10, cpe:/o:canonical:ubuntu_linux:13.04, cpe:/o:canonical:ubuntu_linux:13.10

必要な KB アイテム: Host/cpu, Host/Debian/dpkg-l, Host/Ubuntu, Host/Ubuntu/release

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2013/10/29

脆弱性公開日: 2013/10/22

参照情報

CVE: CVE-2013-1739, CVE-2013-5590, CVE-2013-5591, CVE-2013-5592, CVE-2013-5593, CVE-2013-5595, CVE-2013-5596, CVE-2013-5597, CVE-2013-5598, CVE-2013-5599, CVE-2013-5600, CVE-2013-5601, CVE-2013-5602, CVE-2013-5603, CVE-2013-5604

BID: 63405, 63419, 63421, 63430

USN: 2009-1