Firefox < 27.0 の複数の脆弱性(Mac OS X)

critical Nessus プラグイン ID 72328
New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモート Mac OS X ホストに、複数の脆弱性の影響を受ける可能性がある Web ブラウザが含まれています。

説明

インストールされている Firefox のバージョンが 27.0 より前であるため、複数の脆弱性の影響を受ける可能性があります。

- ブラウザエンジンにメモリに関する問題が存在し、サービス拒否や任意のコード実行が引き起こされる可能性があります。(CVE-2014-1477、CVE-2014-1478)

- System Only Wrappers(SOW)と XML Binding Language(XBL)に関連するエラーが存在します。これにより、XUL コンテンツが漏洩される可能性があります。(CVE-2014-1479)

- 「open file」ダイアログに関連するエラーが存在します。これにより、ユーザーが意図していない操作を行う可能性があります。
(CVE-2014-1480)

- JavaScript エンジンと「window」オブジェクトの処理に関連するエラーが存在します。これには、特定されない影響があります。
(CVE-2014-1481)

- 「RasterImage」と画像デコードに関連するエラーが存在します。これにより、アプリケーションをクラッシュさせたり、任意のコードの実行が引き起こされたりする可能性があります。(CVE-2014-1482)

- IFrames、「document.caretPositionFromPoint」および「document.elementFromPoint」に関連するエラーが存在します。これにより、クロスオリジンの情報漏洩が発生する可能性があります。(CVE-2014-1483)

- Content Security Policy(CSP)と XSLT スタイルシートに関連するエラーが存在します。これにより、意図しないスクリプトが実行される可能性があります。(CVE-2014-1485)

- 画像処理と「imgRequestProxy」に関連する use-after-free エラーが存在します。これにより、アプリケーションをクラッシュさせたり、任意のコードの実行が引き起こされたりする可能性があります。
(CVE-2014-1486)

- 「web workers」に関連するエラーが存在します。これにより、クロスオリジンの情報漏洩が発生する可能性があります。
(CVE-2014-1487)

- 「web workers」と「asm.js」に関連するエラーが存在します。これにより、アプリケーションをクラッシュさせたり、任意のコードの実行が引き起こされたりする可能性があります。(CVE-2014-1488)

- エラーが存在します。これにより、 Web ページが「about:home」ページからアクティブなコンテンツにアクセスすることが可能で、データ損失が発生する可能性があります。(CVE-2014-1489)

- Network Security Services(NSS)で libssl に、セッションチケットの処理中に発生する競合状態が、含まれます。リモートの攻撃者はこの欠陥を悪用して、サービス拒否を引き起こすことができます。(CVE-2014-1490)

- Network Security Services(NSS)がディフィー・ヘルマン鍵交換の公開値を適切に制限しないことにより、リモートの攻撃者が暗号保護メカニズムをバイパスできます。(CVE-2014-1491)

ソリューション

Firefox 27.0 以降にアップグレードしてください。

関連情報

http://www.zerodayinitiative.com/advisories/ZDI-14-058/

https://www.mozilla.org/en-US/security/advisories/mfsa2014-01/

https://www.mozilla.org/en-US/security/advisories/mfsa2014-02/

https://www.mozilla.org/en-US/security/advisories/mfsa2014-03/

https://www.mozilla.org/en-US/security/advisories/mfsa2014-04/

https://www.mozilla.org/en-US/security/advisories/mfsa2014-05/

https://www.mozilla.org/en-US/security/advisories/mfsa2014-07/

https://www.mozilla.org/en-US/security/advisories/mfsa2014-08/

https://www.mozilla.org/en-US/security/advisories/mfsa2014-09/

https://www.mozilla.org/en-US/security/advisories/mfsa2014-10/

https://www.mozilla.org/en-US/security/advisories/mfsa2014-11/

https://www.mozilla.org/en-US/security/advisories/mfsa2014-12/

https://www.mozilla.org/en-US/security/advisories/mfsa2014-13/

プラグインの詳細

深刻度: Critical

ID: 72328

ファイル名: macosx_firefox_27.nasl

バージョン: 1.12

タイプ: local

エージェント: macosx

公開日: 2014/2/5

更新日: 2019/11/26

依存関係: macosx_firefox_installed.nasl

リスク情報

CVSS スコアのソース: CVE-2014-1488

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Critical

Base Score: 10

Temporal Score: 7.4

ベクトル: AV:N/AC:L/Au:N/C:C/I:C/A:C

現状ベクトル: E:U/RL:OF/RC:C

脆弱性情報

CPE: cpe:/a:mozilla:firefox

必要な KB アイテム: MacOSX/Firefox/Installed

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2014/2/4

脆弱性公開日: 2014/2/4

参照情報

CVE: CVE-2014-1477, CVE-2014-1478, CVE-2014-1479, CVE-2014-1480, CVE-2014-1481, CVE-2014-1482, CVE-2014-1483, CVE-2014-1485, CVE-2014-1486, CVE-2014-1487, CVE-2014-1488, CVE-2014-1489, CVE-2014-1490, CVE-2014-1491

BID: 65316, 65317, 65320, 65321, 65322, 65324, 65326, 65328, 65329, 65330, 65331, 65332, 65334, 65335