SeaMonkey < 2.23の複数の脆弱性
critical Nessus プラグイン ID 71349
Language:
概要
リモート Windows ホストに、複数の脆弱性の影響を受ける可能性がある Web ブラウザが、含まれています。説明
インストールされている SeaMonkey のバージョンが 2.23 より前であるため、次の脆弱性の影響を受ける可能性があります。- Memory issues exist in the browser engine that could result in a denial of service or arbitrary code execution. (CVE-2013-5609, CVE-2013-5610)
- Cross-site scripting filtering evasion may be possible due to character encodings being inherited from a previously visited website when character set encoding is missing from the current website. (CVE-2013-5612)
- 人工的なマウスの動きを処理する関数に、 2 つの use-after-free の脆弱性が存在します。
(CVE-2013-5613)
- Sandbox restrictions may be bypassed because 'iframe sandbox' restrictions are not properly applied to 'object' elements in sandboxed iframes. (CVE-2013-5614)
- 「GetElementIC」型配列スタブを、観察されているタイプセット外で生成できる問題が存在します。This could lead to unpredictable behavior with a potential security impact. (CVE-2013-5615)
- mListeners 配列からのイベントリスナーと情報をやりとりする際に、use-after-free の脆弱性が存在します。This could result in a denial of service or arbitrary code execution. (CVE-2013-5616)
- ガベージコレクション中、エディターのユーザーインターフェイスを編集するテーブルに、use-after-free の脆弱性が存在します。This could result in a denial of service or arbitrary code execution. (CVE-2013-5618)
- SpiderMonkey JavaScript エンジンにおいて、バイナリ検索アルゴリズムにメモリの問題が存在します。これにより、サービス拒否または任意のコード実行が発生する可能性があります。
(CVE-2013-5619)
- 「libjpeg」ライブラリにおいて、Start Of Scan(SOS)マーカーと Define Huffman Table(DHT)マーカーを用いた JPEG 形式画像の処理に問題があります。This could allow attackers to read arbitrary memory content as well as cross-domain image theft. (CVE-2013-6629, CVE-2013-6630)
- スクリプトにより順序付けされたリストをドキュメントに挿入する際にメモリの問題が存在します。これにより、サービス拒否または任意のコード実行が発生する可能性があります。
(CVE-2013-6671)
- Extended Validation(EV)証明書検証中に、内蔵のルート証明書に対する信頼設定が無視されます。This removes the ability of users to explicitly untrust root certificates from specific certificate authorities. (CVE-2013-6673)
- An intermediate certificate that is used by a man-in-the-middle (MITM) traffic management device exists in Mozilla's root certificate authorities. 報告によると、この証明書は悪用されています。
ソリューション
SeaMonkey 2.23以降にアップグレードしてください。参考資料
https://www.mozilla.org/en-US/security/advisories/mfsa2013-104/
https://www.mozilla.org/en-US/security/advisories/mfsa2013-106/
https://www.mozilla.org/en-US/security/advisories/mfsa2013-107/
https://www.mozilla.org/en-US/security/advisories/mfsa2013-108/
https://www.mozilla.org/en-US/security/advisories/mfsa2013-109/
https://www.mozilla.org/en-US/security/advisories/mfsa2013-110/
https://www.mozilla.org/en-US/security/advisories/mfsa2013-111/
https://www.mozilla.org/en-US/security/advisories/mfsa2013-113/
https://www.mozilla.org/en-US/security/advisories/mfsa2013-114/
https://www.mozilla.org/en-US/security/advisories/mfsa2013-115/
https://www.mozilla.org/en-US/security/advisories/mfsa2013-116/
https://www.mozilla.org/en-US/security/advisories/mfsa2013-117/
プラグインの詳細
深刻度: Critical
ID: 71349
ファイル名: seamonkey_223.nasl
バージョン: 1.11
タイプ: local
エージェント: windows
ファミリー: Windows
公開日: 2013/12/11
更新日: 2019/11/27
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: Critical
基本値: 10
現状値: 7.4
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS スコアのソース: CVE-2013-5618
脆弱性情報
CPE: cpe:/a:mozilla:seamonkey
必要な KB アイテム: SeaMonkey/Version
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2013/12/10
脆弱性公開日: 2013/12/10
参照情報
CVE: CVE-2013-5609, CVE-2013-5610, CVE-2013-5612, CVE-2013-5613, CVE-2013-5614, CVE-2013-5615, CVE-2013-5616, CVE-2013-5618, CVE-2013-5619, CVE-2013-6629, CVE-2013-6630, CVE-2013-6671, CVE-2013-6673
BID: 63676, 64203, 64204, 64205, 64206, 64207, 64209, 64211, 64212, 64213, 64215, 64216, 67679