24.3 より前の Firefox ESR 24.x の複数の脆弱性

critical Nessus プラグイン ID 72330
New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモート Windows ホストに、複数の脆弱性の影響を受ける可能性がある Web ブラウザが、含まれています。

説明

インストールされている Firefox ESR 24.x のバージョンが 24.3 より前であるため、次の脆弱性の影響を受ける可能性があります:

- ブラウザエンジンにメモリに関する問題が存在し、サービス拒否や任意のコード実行が引き起こされる可能性があります。(CVE-2014-1477)

- System Only Wrappers(SOW)と XML Binding Language(XBL)に関連するエラーが存在します。これにより、XUL コンテンツが漏洩される可能性があります。(CVE-2014-1479)

- JavaScript エンジンと「window」オブジェクトの処理に関連するエラーが存在します。これには、特定されない影響があります。
(CVE-2014-1481)

- 「RasterImage」と画像デコードに関連するエラーが存在します。これにより、アプリケーションをクラッシュさせたり、任意のコードの実行が引き起こされたりする可能性があります。(CVE-2014-1482)

- 画像処理と「imgRequestProxy」に関連する use-after-free エラーが存在します。これにより、アプリケーションをクラッシュさせたり、任意のコードの実行が引き起こされたりする可能性があります。
(CVE-2014-1486)

- 「web workers」に関連するエラーが存在します。これにより、クロスオリジンの情報漏洩が発生する可能性があります。
(CVE-2014-1487)

- Network Security Services(NSS)で libssl に、セッションチケットの処理中に発生する競合状態が、含まれます。リモートの攻撃者はこの欠陥を悪用して、サービス拒否を引き起こすことができます。(CVE-2014-1490)

- Network Security Services(NSS)がディフィー・ヘルマン鍵交換の公開値を適切に制限しないことにより、リモートの攻撃者が暗号保護メカニズムをバイパスできます。(CVE-2014-1491)

ソリューション

Firefox ESR 24.3 以降にアップグレードしてください。

関連情報

http://www.zerodayinitiative.com/advisories/ZDI-14-058/

https://www.mozilla.org/en-US/security/advisories/mfsa2014-01/

https://www.mozilla.org/en-US/security/advisories/mfsa2014-02/

https://www.mozilla.org/en-US/security/advisories/mfsa2014-04/

https://www.mozilla.org/en-US/security/advisories/mfsa2014-08/

https://www.mozilla.org/en-US/security/advisories/mfsa2014-09/

https://www.mozilla.org/en-US/security/advisories/mfsa2014-12/

https://www.mozilla.org/en-US/security/advisories/mfsa2014-13/

プラグインの詳細

深刻度: Critical

ID: 72330

ファイル名: mozilla_firefox_24_3_esr.nasl

バージョン: 1.12

タイプ: local

エージェント: windows

ファミリー: Windows

公開日: 2014/2/5

更新日: 2019/11/26

依存関係: mozilla_org_installed.nasl

リスク情報

CVSS スコアのソース: CVE-2014-1486

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Critical

Base Score: 10

Temporal Score: 7.4

ベクトル: AV:N/AC:L/Au:N/C:C/I:C/A:C

現状ベクトル: E:U/RL:OF/RC:C

脆弱性情報

CPE: cpe:/a:mozilla:firefox_esr

必要な KB アイテム: Mozilla/Firefox/Version

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2014/2/4

脆弱性公開日: 2014/2/4

参照情報

CVE: CVE-2014-1477, CVE-2014-1479, CVE-2014-1481, CVE-2014-1482, CVE-2014-1486, CVE-2014-1487, CVE-2014-1490, CVE-2014-1491

BID: 65317, 65320, 65326, 65328, 65330, 65332, 65334, 65335