検出

openSUSE セキュリティ更新:MozillaFirefox(openSUSE-2015-547)

critical Nessus プラグイン ID 85436

Language:

概要

リモート openSUSE ホストに、セキュリティ更新がありません。

説明

- Firefox 40.0 に更新してください(bnc#940806)

- 不要なソフトウェアのダウンロードに対する保護を追加しました

- 最近の閲覧履歴からのカテゴリに基づいて、推奨されるタイルが関心のあるサイトを表示します

- Hello が、会話へのリンクの追加を許可し、会話の対象となるコンテキストを提供します

- コンテンツのプリファレンススタイルに基づく新しいスタイルのアドオンマネージャー

- オフメインのスレッド構成による、スクロール、グラフィック、動画再生のパフォーマンス向上(GNU/Linux のみ)

- グラフィックブロックリストのメカニズムの改善:Firefox のバージョンの範囲を指定できるようになり、デバイスがブロックするセキュリティ修正の数が制限されるようになりました:

- MFSA 2015-79/CVE-2015-4473/CVE-2015-4474 さまざまなメモリ安全性の問題

- MFSA 2015-80/CVE-2015-4475(bmo#1175396)無効な形式の MP3 ファイルによる領域外読み取り

- MFSA 2015-81/CVE-2015-4477(bmo#1179484)MediaStream 再生での use-after-free

- MFSA 2015-82/CVE-2015-4478(bmo#1105914)構成不可能な JavaScript オブジェクトプロパティの再定義

- MFSA 2015-83/CVE-2015-4479/CVE-2015-4480/CVE-2015-4493 libstagefright でのオーバーフローの問題

- MFSA 2015-84/CVE-2015-4481(bmo1171518)ハードリンクによる Mozilla メンテナンスサービスを介した任意のファイルの上書き(Windows にのみ影響)

- MFSA 2015-85/CVE-2015-4482(bmo#1184500)アップデーターおよび悪意ある MAR ファイルでの領域外書き込み(アップデータとともに出荷されない openSUSE RPM パッケージには影響しません)

- MFSA 2015-86/CVE-2015-4483(bmo#1148732)POST によるプロトコルのフィードが混在するコンテンツ保護をバイパスします

- MFSA 2015-87/CVE-2015-4484(bmo#1171540)JavaScript で共有メモリを使用する際のクラッシュ

- MFSA 2015-88/CVE-2015-4491(bmo#1184009)ビットマップ画像のスケール時の gdk-pixbuf でのヒープオーバーフロー

- MFSA 2015-89/CVE-2015-4485/CVE-2015-4486(bmo#1177948、bmo#1178148)WebM 動画のデコード時の Libvpx におけるバッファオーバーフロー

- MFSA 2015-90/CVE-2015-4487/CVE-2015-4488/CVE-2015-4489 コード検査で見つかった脆弱性

- MFSA 2015-91/CVE-2015-4490(bmo#1086999)Mozilla Content Security Policy が、CSP 仕様の違反でアスタリスクワイルドカードを許可します

- MFSA 2015-92/CVE-2015-4492(bmo#1185820)共有ワーカーによる XMLHttpRequest での use-after-free

- mozilla-no-stdcxx-check.patch を追加しました

- 使われなくなったパッチを削除しました

- mozilla-add-glibcxx_use_cxx11_abi.patch

- firefox-multilocale-chrome.patch

- パッチをリベースしました

- バージョン 40 のブランディングパッケージが必須です

- 有効でなくなったブラウザ/検索プラグイン/場所を削除しました

- Firefox 39.0.3 に対するセキュリティ更新が含まれます(bnc#940918)

- MFSA 2015-78/CVE-2015-4495(bmo#1179262、bmo#1178058)同一生成元違反、および PDF リーダーによるローカルファイル盗取

ソリューション

影響を受けた MozillaFirefox パッケージを更新してください。

参考資料

https://bugzilla.opensuse.org/show_bug.cgi?id=940806

https://bugzilla.opensuse.org/show_bug.cgi?id=940918

プラグインの詳細

深刻度: Critical

ID: 85436

ファイル名: openSUSE-2015-547.nasl

バージョン: 2.6

タイプ: local

エージェント: unix

公開日: 2015/8/17

更新日: 2022/5/25

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 8.2

CVSS v2

リスクファクター: Critical

Base Score: 10

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:mozillafirefox, p-cpe:/a:novell:opensuse:mozillafirefox-branding-opensuse, p-cpe:/a:novell:opensuse:mozillafirefox-branding-upstream, p-cpe:/a:novell:opensuse:mozillafirefox-buildsymbols, p-cpe:/a:novell:opensuse:mozillafirefox-debuginfo, p-cpe:/a:novell:opensuse:mozillafirefox-debugsource, p-cpe:/a:novell:opensuse:mozillafirefox-devel, p-cpe:/a:novell:opensuse:mozillafirefox-translations-common, p-cpe:/a:novell:opensuse:mozillafirefox-translations-other, cpe:/o:novell:opensuse:13.1

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2015/8/13

CISA の既知の悪用された脆弱性の期限日: 2022/6/15

エクスプロイト可能

CANVAS (CANVAS)

参照情報

CVE: CVE-2015-4473, CVE-2015-4474, CVE-2015-4475, CVE-2015-4477, CVE-2015-4478, CVE-2015-4479, CVE-2015-4480, CVE-2015-4481, CVE-2015-4482, CVE-2015-4483, CVE-2015-4484, CVE-2015-4485, CVE-2015-4486, CVE-2015-4487, CVE-2015-4488, CVE-2015-4489, CVE-2015-4490, CVE-2015-4491, CVE-2015-4492, CVE-2015-4493, CVE-2015-4495