Ubuntu 12.04 LTS / 12.10 LTS / 13.04 / 13.10:Firefox の脆弱性(USN-2052-1)
critical Nessus プラグイン ID 71374
Language:
概要
リモート Ubuntu ホストにセキュリティ関連パッチがありません。説明
Ben Turner 氏、Bobby Holley 氏、Jesse Ruderman 氏、Christian Holler 氏、Christoph Diehl 氏が、Firefox の複数のメモリ安全の問題を発見しました。ユーザーが騙されて、特別に細工された Web サイトを開くと、攻撃者は、これらを悪用して、アプリケーションのクラッシュによるサービス拒否を引き起こす可能性や、 Firefox を呼び出すユーザーの権限で、任意のコードを実行する可能性があります。(CVE-2013-5609、 CVE-2013-5610)
Myk Melez 氏が、Web アプリケーションのインストールのためのドアハンガー通知が、ページのナビゲーション中も残っていることを発見しました。攻撃者が、これを悪用してクリックジャッキング攻撃を行う可能性があります。
(CVE-2013-5611)
Masato Kinugawa 氏は、文字セットのエンコーディング情報が欠如しているページが、別のドメインでのナビゲーションから文字エンコーディングを継承することを発見しました。攻撃者はこれを悪用して、クロスサイトスクリプティング攻撃を仕掛ける可能性があります。(CVE-2013-5612)
Daniel Veditz 氏は、サンドボックス化した iframe がオブジェクト要素を利用してフレームの制限をバイパスする可能性があることを発見しました。(CVE-2013-5614)
Tyson Smith 氏および Jesse Schwartzentruber 氏は、イベントリスナーに use-after-free があることを発見しました。攻撃者はこれを悪用して、アプリケーションのクラッシュを介してサービス拒否を引き起こしたり、Firefox を呼び出したユーザーの権限で任意のコードを実行したりする可能性があります。(CVE-2013-5616)
テーブル編集インターフェイスに use-after-free が発見されました。攻撃者はこれを悪用して、アプリケーションのクラッシュを介してサービス拒否を引き起こしたり、Firefox を呼び出したユーザーの権限で任意のコードを実行したりする可能性があります。(CVE-2013-5618)
Dan Gohman 氏は、算術で使用される Spidermonkey のバイナリ検索アルゴリズムが、いくつかの場所でオーバーフローしやすいことを発見しました。ただし、これは悪用される可能性があるとは考えられない問題です。(CVE-2013-5619)
Tyson Smith 氏および Jesse Schwartzentruber 氏は、スクリプトを使用して順序付けされたリストをドキュメントに挿入する際のクラッシュを発見しました。攻撃者は、これを悪用して、Firefox を起動しているユーザーの権限で任意のコードを実行する可能性があります。(CVE-2013-6671)
Vincent Lefevre 氏は、特定の状況で Web コンテンツがクリップボードのデータにアクセスし、結果として情報漏洩が発生することを発見しました。
(CVE-2013-6672)
Sijie Xia 氏は、内蔵 EV ルート証明書に対する信頼の設定が、特定の状況で無視されることを発見しました。これにより、ユーザーは特定機関からの証明書を手動で信頼できないものとすることができなくなくなります。(CVE-2013-6673)
Tyson Smith 氏、Jesse Schwartzentruber 氏および Atte Kettunen 氏は、人工的なマウスの動きを処理する関数に use-after-free を発見しました。攻撃者はこれを悪用して、アプリケーションのクラッシュを介してサービス拒否を引き起こしたり、Firefox を呼び出したユーザーの権限で任意のコードを実行したりする可能性があります。(CVE-2013-5613)
Eric Faust 氏は、GetElementIC 型配列スタブを、観測されたタイプセット外で生成できることを発見しました。攻撃者がこれを悪用して、セキュリティに影響を与える可能性がある未定義の挙動を引き起こす可能性があります。(CVE-2013-5615)
Michal Zalewski 氏は、JPEG 画像処理にいくつかの問題を発見しました。攻撃者がこれらを悪用して機密情報を入手する可能性があります。(CVE-2013-6629、 CVE-2013-6630)。
ソリューション
影響を受ける firefox パッケージを更新してください。参考資料
プラグインの詳細
深刻度: Critical
ID: 71374
ファイル名: ubuntu_USN-2052-1.nasl
バージョン: 1.11
タイプ: local
エージェント: unix
ファミリー: Ubuntu Local Security Checks
公開日: 2013/12/12
更新日: 2019/9/19
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: High
スコア: 7.3
CVSS v2
リスクファクター: Critical
基本値: 10
現状値: 7.4
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
脆弱性情報
CPE: cpe:/o:canonical:ubuntu_linux:12.04:-:lts, cpe:/o:canonical:ubuntu_linux:12.10, cpe:/o:canonical:ubuntu_linux:13.04, cpe:/o:canonical:ubuntu_linux:13.10, p-cpe:/a:canonical:ubuntu_linux:firefox
必要な KB アイテム: Host/cpu, Host/Debian/dpkg-l, Host/Ubuntu, Host/Ubuntu/release
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2013/12/11
脆弱性公開日: 2013/11/18
参照情報
CVE: CVE-2013-5609, CVE-2013-5610, CVE-2013-5611, CVE-2013-5612, CVE-2013-5613, CVE-2013-5614, CVE-2013-5615, CVE-2013-5616, CVE-2013-5618, CVE-2013-5619, CVE-2013-6629, CVE-2013-6630, CVE-2013-6671, CVE-2013-6672, CVE-2013-6673
BID: 63676, 63679, 64203, 64204, 64209, 64211, 64216, 64205, 64206, 64207, 64210, 64212, 64213, 64214, 64215
USN: 2052-1