Oracle Linux 5/6：firefox（ELSA-2014-0310）

critical Nessus プラグイン ID 73088

Language:

概要

リモート Oracle Linux ホストにセキュリティ更新がありません。

説明

Red Hat セキュリティアドバイザリ 2014:0310 から：

複数のセキュリティ上の問題を修正する更新済みの firefox パッケージが、 Red Hat Enterprise Linux 5 および 6 で現在利用可能です。

Red Hat セキュリティレスポンスチームは、この更新によるセキュリティ上の影響が重大だと評価しています。詳細な重要度の評価を提供する Common Vulnerability Scoring System （CVSS）のベーススコアが、「参照」セクションの CVE リンクの各脆弱性に対して利用可能です。

Mozilla Firefox はオープンソースの Web ブラウザです。XULRunner は、Mozilla Firefox 用の XUL Runtime 環境を提供しています。

不正な形式の Web コンテンツの処理に様々な欠陥が見つかりました。悪意のあるコンテンツが含まれる Web ページが、Firefox をクラッシュさせたり、 Firefox を実行しているユーザーの権限で任意のコードを実行したりする可能性があります。（CVE-2014-1493、 CVE-2014-1510、CVE-2014-1511、CVE-2014-1512、 CVE-2014-1513、CVE-2014-1514）

Firefox が無効な形式の Web コンテンツを処理する方法で、いくつかの情報漏洩の欠陥が見つかりました。攻撃者は、これらの欠陥を使用して、ドメイン間共有のコンテンツや保護されているメモリアドレスなどの機密情報へのアクセス権を取得することや、Firefox をクラッシュする可能性があります。
（CVE-2014-1497、 CVE-2014-1508、CVE-2014-1505）

Firefox が特定の PDF ファイルをレンダリングする方法で、メモリ破損の欠陥が見つかりました。ユーザーを騙して、悪意のある拡張をインストールさせることができる攻撃者が、この欠陥を利用して、 Firefox をクラッシュすることや、Firefox を実行しているユーザーの権限で、任意のコードを実行する可能性があります。（CVE-2014-1509）

Red Hat は、Mozilla プロジェクトがこれらの問題を報告してくれたことに感謝の意を表します。Upstream は、Benoit Jacob 氏、Olli Pettay 氏、Jan Varga 氏、 Jan de Mooij 氏、Jesse Ruderman 氏、Dan Gohman 氏、Christoph Diehl 氏、Atte Kettunen 氏、 Tyson Smith 氏、Jesse Schwartzentruber 氏、John Thomson 氏、Robert O'Callahan 氏、 Mariusz Mlynski 氏、Jüri Aedla 氏、George Hotz 氏、そしてセキュリティ研究所 VUPEN を、これらの問題の最初の報告者として認めます。

これらの欠陥の技術的な詳細については、Firefox 24.4.0 ESR 向けの Mozilla セキュリティアドバイザリを参照してください。Mozilla アドバイザリへのリンクは、このエラータの「参照」セクションにあります。

Firefox の全ユーザーは、Firefox バージョン 24.4.0 ESR が含まれるこれらの更新済みのパッケージへアップグレードし、これらの問題を修正する必要があります。更新をインストールした後、変更した内容を反映させるには Firefox を再起動する必要があります。