Firefox ESR 31.x < 31.3 の複数の脆弱性

high Nessus プラグイン ID 79664

概要

リモートのWindowsホストに含まれるWebブラウザは複数の脆弱性の影響を受けます。

説明

リモート Windows ホストにインストールされている Firefox ESR 31.x のバージョンは、31.3 より前です。したがって、次の脆弱性の影響を受けます。

- Mozilla Network Security Services(NSS)に、 ASN.1 DER デコーディング中の PKCS#1 署名の処理時にトリガーされる「quickder.c」の欠陥による、リモートコードの実行の脆弱性があります。
(CVE-2014-1569)

- ブラウザエンジン内に複数のメモリセキュリティ欠陥が存在します。Exploiting these, an attacker can cause a denial of service or execute arbitrary code. (CVE-2014-1587, CVE-2014-1588)

- XMLHttpRequest API に対する JavaScript オブジェクトの不適切な解析による、サービス拒否の脆弱性があります。これは、クラッシュを引き起こす可能性があります。
(CVE-2014-1590)

- A use-after-free error exists due the creation of a second XML root element when parsing HTML written to a document created with 'document.open()' function which can result in arbitrary code execution. (CVE-2014-1592)

- A buffer overflow vulnerability exists in the 'mozilla: : FileBlockCache: : Read' function when parsing media which can result in arbitrary code execution.
(CVE-2014-1593)

- 「BasicThebesLayer」レイヤーから「BasicContainerLayer」レイヤーへのキャスト時における、キャストエラーがあります。これは、任意のコードの実行を引き起こす可能性があります。
(CVE-2014-1594)

ソリューション

Firefox ESR 31.3 以降にアップグレードしてください。

参考資料

https://www.mozilla.org/security/announce/2014/mfsa2014-83.html

https://www.mozilla.org/security/announce/2014/mfsa2014-85.html

https://www.mozilla.org/security/announce/2014/mfsa2014-87.html

https://www.mozilla.org/security/announce/2014/mfsa2014-88.html

https://www.mozilla.org/security/announce/2014/mfsa2014-89.html

プラグインの詳細

深刻度: High

ID: 79664

ファイル名: mozilla_firefox_31_3_esr.nasl

バージョン: 1.10

タイプ: local

エージェント: windows

ファミリー: Windows

公開日: 2014/12/2

更新日: 2019/11/25

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: High

Base Score: 7.5

Temporal Score: 5.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2014-1569

脆弱性情報

CPE: cpe:/a:mozilla:firefox_esr

必要な KB アイテム: Mozilla/Firefox/Version

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2014/12/2

脆弱性公開日: 2014/12/2

参照情報

CVE: CVE-2014-1569, CVE-2014-1587, CVE-2014-1588, CVE-2014-1590, CVE-2014-1592, CVE-2014-1593, CVE-2014-1594

BID: 71391, 71392, 71395, 71396, 71397, 71398, 71675