Firefox < 37.0複数の脆弱性

high Nessus プラグイン ID 82503




リモートの Windows ホストにインストールされている Firefox のバージョンは、37.0より前です。したがって、次の脆弱性の影響を受けます。

- アンカーナビゲーションに関連する権限昇格の脆弱性が存在しています。リモートの攻撃者が、これを悪用して、同一生成元ポリシー保護をバイパスし、権限のあるコンテキストで任意のスクリプトを実行する可能性があります。これは、Firefox 36.0.4 で修正されている CVE-2015-0818 の変種ですので注意してください。

- 権限のある UI コンテンツを含むために作成されたウインドウから権限のないページに移動するとき、特定の権限のある内部メソッドへのアクセスが保持されます。An attacker can exploit this to execute arbitrary JavaScript with elevated privileges. (CVE-2015-0802)

- Multiple type confusion issues exist that can lead to use-after-free errors, which a remote attacker can exploit to execute arbitrary code or cause a denial of service. (CVE-2015-0803, CVE-2015-0804)

- Multiple memory corruption issues exist related to Off Main Thread Compositing when rendering 2D graphics, which a remote attacker can exploit to execute arbitrary code or cause a denial of service. (CVE-2015-0805, CVE-2015-0806)

- A cross-site request forgery (XSRF) vulnerability exists in the sendBeacon() function due to cross-origin resource sharing (CORS) requests following 30x redirections. (CVE-2015-0807)

- An issue exists in WebRTC related to memory management for simple-style arrays, which may be used by a remote attacker to cause a denial of service. (CVE-2015-0808)

- An out-of-bounds read issue exists in the QCMS color management library that could lead to an information disclosure. (CVE-2015-0811)

- An issue exists that can allow a man-in-the-middle attacker to bypass user-confirmation and install a Firefox lightweight theme by spoofing a Mozilla sub-domain. (CVE-2015-0812)
- ブラウザのエンジン内に、複数のメモリ安全性の問題が存在します。リモートの攻撃者が、これらを悪用し、メモリを破損させたり、任意のコードを実行したりする可能性があります。
(CVE-2015-0814, CVE-2015-0815)

- A privilege escalation vulnerability exists related to documents loaded through a 'resource: ' URL. An attacker can exploit this to load pages and execute JavaScript with elevated privileges. (CVE-2015-0816)


Firefox 37.0以降にアップグレードしてください。



深刻度: High

ID: 82503

ファイル名: mozilla_firefox_37_0.nasl

バージョン: 1.9

タイプ: local

エージェント: windows

ファミリー: Windows

公開日: 2015/4/1

更新日: 2018/7/16

サポートされているセンサー: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent



リスクファクター: Medium

スコア: 6.4


リスクファクター: High

Base Score: 7.5

Temporal Score: 6.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P


CPE: cpe:/a:mozilla:firefox

必要な KB アイテム: Mozilla/Firefox/Version

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2015/3/31

脆弱性公開日: 2014/12/9


Metasploit (Firefox PDF.js Privileged Javascript Injection)


CVE: CVE-2015-0801, CVE-2015-0802, CVE-2015-0803, CVE-2015-0804, CVE-2015-0805, CVE-2015-0806, CVE-2015-0807, CVE-2015-0808, CVE-2015-0811, CVE-2015-0812, CVE-2015-0814, CVE-2015-0815, CVE-2015-0816

BID: 73454, 73455, 73457, 73458, 73460, 73461, 73462, 73464, 73465, 73466, 73467