Ubuntu 12.04 LTS/14.04/14.10:Firefox 脆弱性(USN-2424-1)

medium Nessus プラグイン ID 79688

言語:

概要

リモート Ubuntu ホストにセキュリティ関連パッチがありません。

説明

Gary Kwong 氏、Randell Jesup 氏、Nils Ohlmeier 氏、Jesse Ruderman 氏、Max Jonas Werner 氏、Christian Holler 氏、Jon Coppeard 氏、Eric Rahm 氏、Byron Campen 氏、Eric Rescorla 氏および Xidorn Quan 氏は、Firefox の複数のメモリ安全性の問題を発見しました。ユーザーが騙されて、特別に細工された Web サイトを開くと、攻撃者は、これらを悪用して、アプリケーションのクラッシュによるサービス拒否を引き起こす可能性や、 Firefox を呼び出すユーザーの権限で、任意のコードを実行する可能性があります。(CVE-2014-1587、CVE-2014-1588)

Cody Crews 氏は、特定の状況で Web コンテンツから chrome レベルの XBL バインディングをトリガーする方法を発見しました。ユーザーが騙されて、特別に細工された Web サイトを開いた場合、攻撃者が、これを悪用して、セキュリティ制限をバイパスする可能性があります。(CVE-2014-1589)

Joe Vennix 氏は、ある状況で XMLHttpRequest を使用した場合にクラッシュが発生することを発見しました。ユーザーが騙されて、特別に細工された Web サイトを開いた場合、攻撃者が、これを利用して、サービス拒否を引き起こす可能性があります。(CVE-2014-1590)

Muneaki Nishimura 氏は、特定の状況で CSP 違反レポートがパス情報を削除しないことを発見しました。ユーザーが騙されて特別に細工された Web サイトを開いた場合、攻撃者がこれを悪用して機密情報を取得する可能性があります。(CVE-2014-1591)

Berend-Jan Wever 氏は、HTML 解析中の use-after-free を発見しました。ユーザーが、騙されて、特別に細工された Web サイトを開いた場合、攻撃者が、これらを悪用して、アプリケーションのクラッシュでサービス拒否を引き起こしたり、Firefox を起動しているユーザーの権限で任意のコードを実行したりする可能性があります。(CVE-2014-1592)

Abhishek Arya 氏は、メディアコンテンツ解析時のバッファオーバーフローを発見しました。
ユーザーが、騙されて、特別に細工された Web サイトを開いた場合、攻撃者が、これらを悪用して、アプリケーションのクラッシュでサービス拒否を引き起こしたり、Firefox を起動しているユーザーの権限で任意のコードを実行したりする可能性があります。(CVE-2014-1593)

Byoungyoung Lee 氏、Chengyu Song 氏、および Taesoo Kim 氏は、コンポジターの不良キャストを発見しました。ユーザーが騙されて、特別に細工された Web サイトを開いた場合、攻撃者が、これらを悪用して、未定義の挙動やアプリケーションクラッシュによるサービス拒否を引き起こしたり、Firefox を起動しているユーザーの権限で任意のコードを実行したりする可能性があります。(CVE-2014-1594)。

ソリューション

影響を受ける firefox パッケージを更新してください。

関連情報

https://usn.ubuntu.com/2424-1/

プラグインの詳細

深刻度: Medium

ID: 79688

ファイル名: ubuntu_USN-2424-1.nasl

バージョン: 1.18

タイプ: local

エージェント: unix

公開日: 2014/12/3

更新日: 2021/1/19

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Medium

Base Score: 6.8

Temporal Score: 5

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

現状ベクトル: CVSS2#E:U/RL:OF/RC:C

脆弱性情報

CPE: p-cpe:/a:canonical:ubuntu_linux:firefox, cpe:/o:canonical:ubuntu_linux:12.04:-:lts, cpe:/o:canonical:ubuntu_linux:14.04, cpe:/o:canonical:ubuntu_linux:14.10

必要な KB アイテム: Host/cpu, Host/Ubuntu, Host/Ubuntu/release, Host/Debian/dpkg-l

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2014/12/2

脆弱性公開日: 2014/12/11

参照情報

CVE: CVE-2014-1587, CVE-2014-1588, CVE-2014-1589, CVE-2014-1590, CVE-2014-1591, CVE-2014-1592, CVE-2014-1593, CVE-2014-1594

BID: 71391, 71392, 71393, 71395, 71396, 71397, 71398, 71399

USN: 2424-1