Firefox < 27.0 の複数の脆弱性(Mac OS X)
critical Nessus プラグイン ID 72328
言語:
概要
リモート Mac OS X ホストに、複数の脆弱性の影響を受ける可能性がある Web ブラウザが含まれています。説明
インストールされている Firefox のバージョンが 27.0 より前であるため、複数の脆弱性の影響を受ける可能性があります。- ブラウザエンジンにメモリに関する問題が存在し、サービス拒否や任意のコード実行が引き起こされる可能性があります。(CVE-2014-1477、CVE-2014-1478)
- System Only Wrappers(SOW)と XML Binding Language(XBL)に関連するエラーが存在します。これにより、XUL コンテンツが漏洩される可能性があります。(CVE-2014-1479)
- 「open file」ダイアログに関連するエラーが存在します。これにより、ユーザーが意図していない操作を行う可能性があります。
(CVE-2014-1480)
- JavaScript エンジンと「window」オブジェクトの処理に関連するエラーが存在します。これには、特定されない影響があります。
(CVE-2014-1481)
- 「RasterImage」と画像デコードに関連するエラーが存在します。これにより、アプリケーションをクラッシュさせたり、任意のコードの実行が引き起こされたりする可能性があります。(CVE-2014-1482)
- IFrames、「document.caretPositionFromPoint」および「document.elementFromPoint」に関連するエラーが存在します。これにより、クロスオリジンの情報漏洩が発生する可能性があります。(CVE-2014-1483)
- Content Security Policy(CSP)と XSLT スタイルシートに関連するエラーが存在します。これにより、意図しないスクリプトが実行される可能性があります。(CVE-2014-1485)
- 画像処理と「imgRequestProxy」に関連する use-after-free エラーが存在します。これにより、アプリケーションをクラッシュさせたり、任意のコードの実行が引き起こされたりする可能性があります。
(CVE-2014-1486)
- 「web workers」に関連するエラーが存在します。これにより、クロスオリジンの情報漏洩が発生する可能性があります。
(CVE-2014-1487)
- 「web workers」と「asm.js」に関連するエラーが存在します。これにより、アプリケーションをクラッシュさせたり、任意のコードの実行が引き起こされたりする可能性があります。(CVE-2014-1488)
- エラーが存在します。これにより、 Web ページが「about:home」ページからアクティブなコンテンツにアクセスすることが可能で、データ損失が発生する可能性があります。(CVE-2014-1489)
- Network Security Services(NSS)で libssl に、セッションチケットの処理中に発生する競合状態が、含まれます。リモートの攻撃者はこの欠陥を悪用して、サービス拒否を引き起こすことができます。(CVE-2014-1490)
- Network Security Services(NSS)がディフィー・ヘルマン鍵交換の公開値を適切に制限しないことにより、リモートの攻撃者が暗号保護メカニズムをバイパスできます。(CVE-2014-1491)
ソリューション
Firefox 27.0 以降にアップグレードしてください。関連情報
http://www.zerodayinitiative.com/advisories/ZDI-14-058/
https://www.mozilla.org/en-US/security/advisories/mfsa2014-01/
https://www.mozilla.org/en-US/security/advisories/mfsa2014-02/
https://www.mozilla.org/en-US/security/advisories/mfsa2014-03/
https://www.mozilla.org/en-US/security/advisories/mfsa2014-04/
https://www.mozilla.org/en-US/security/advisories/mfsa2014-05/
https://www.mozilla.org/en-US/security/advisories/mfsa2014-07/
https://www.mozilla.org/en-US/security/advisories/mfsa2014-08/
https://www.mozilla.org/en-US/security/advisories/mfsa2014-09/
https://www.mozilla.org/en-US/security/advisories/mfsa2014-10/
https://www.mozilla.org/en-US/security/advisories/mfsa2014-11/
https://www.mozilla.org/en-US/security/advisories/mfsa2014-12/
https://www.mozilla.org/en-US/security/advisories/mfsa2014-13/
プラグインの詳細
深刻度: Critical
ID: 72328
ファイル名: macosx_firefox_27.nasl
バージョン: 1.12
タイプ: local
エージェント: macosx
公開日: 2014/2/5
更新日: 2019/11/26
サポートされているセンサー: Nessus Agent
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: Critical
Base Score: 10
Temporal Score: 7.4
ベクトル: AV:N/AC:L/Au:N/C:C/I:C/A:C
現状ベクトル: E:U/RL:OF/RC:C
CVSS スコアのソース: CVE-2014-1488
脆弱性情報
CPE: cpe:/a:mozilla:firefox
必要な KB アイテム: MacOSX/Firefox/Installed
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2014/2/4
脆弱性公開日: 2014/2/4
参照情報
CVE: CVE-2014-1477, CVE-2014-1478, CVE-2014-1479, CVE-2014-1480, CVE-2014-1481, CVE-2014-1482, CVE-2014-1483, CVE-2014-1485, CVE-2014-1486, CVE-2014-1487, CVE-2014-1488, CVE-2014-1489, CVE-2014-1490, CVE-2014-1491
BID: 65316, 65317, 65320, 65321, 65322, 65324, 65326, 65328, 65329, 65330, 65331, 65332, 65334, 65335