Ubuntu 14.04 LTS : Ubufox の更新 (USN-2743-2)
high Nessus プラグイン ID 86103
Language:
概要
リモートの Ubuntu ホストにセキュリティ更新がありません。説明
USN-2743-1 は、Firefoxの脆弱性を修正しました。この更新プログラムは、Ubufoxに対応する更新を提供します。Firefox に複数のメモリ安全上の問題を発見したのは以下の人物です。Andrew Osmond 氏、Olli Pettay 氏、Andrew Sutherland 氏、Christian Holler 氏、David Major 氏、Andrew McCreight 氏、Cameron McCormack 氏、Bob Clary 氏、Randell Jesup 氏。ユーザーが騙されて、特別に細工された Web サイトを開くと、攻撃者は、これらを悪用して、アプリケーションのクラッシュによるサービス拒否を引き起こす可能性や、Firefox を呼び出すユーザーの権限で、任意のコードを実行する可能性があります。(CVE-2015-4500、CVE-2015-4501)
Andre Bargull 氏は、Web ページが特定の方法で定義したハンドラーで Window に対してスクリプト化したプロキシを作成する際、外側のウィンドウへの参照ではなく内側のウィンドウへの参照がパスされます。(CVE-2015-4502)
Felix Grobert は、特定の状況下における QCMS カラー管理ライブラリに、領域外読み込みを発見しました。ユーザーがトリックにかけられて特別に細工された Web サイトを開くと、攻撃者はこれを利用して、アプリケーションクラッシュによるサービス拒否を起こすことや、機密情報を取得する可能性があります。(CVE-2015-4504)
Khalil Zhani 氏は、特定の状況において、VP9 コンテンツを解析する際のバッファオーバーフローを発見しました。ユーザーが騙されて、特別に細工された Web サイトを開いた場合、攻撃者がこれらを悪用して、アプリケーションのクラッシュでサービス拒否を引き起こしたり、Firefox を起動しているユーザーの権限で任意のコードを実行したりする可能性があります。(CVE-2015-4506)
Spandan Veggalam 氏は、特定の状況下においてデバッガ API を使用する際のクラッシュを発見しました。ユーザーが騙されて、デバッガを使用している際に特別に細工されたウェブサイトを開くと、攻撃者はこれを悪用して、Firefox を起動しているユーザーの権限で任意のコードコードを実行する可能性があります。(CVE-2015-4507)
Juho Nurminen 氏は、URL バーが特定の状況下のリーダーモードに誤った URL が表示されることがあることを発見しました。ユーザーが騙されて、特別に細工されたウェブサイトを開くと、攻撃者はこれを悪用して URL なりすまし攻撃を行う可能性があります。(CVE-2015-4508)
HTML メディアコンテンツを特定の状況下において操作する際に use-after-free が発見されました。ユーザーが騙されて、特別に細工された Web サイトを開いた場合、攻撃者がこれらを悪用して、アプリケーションのクラッシュでサービス拒否を引き起こしたり、Firefox を起動しているユーザーの権限で任意のコードを実行したりする可能性があります。(CVE-2015-4509)
Looben Yang 氏は、特定の状況下において、IndexedDB で共有ワーカーを使用する際に use-after-free を発見しました。ユーザーが騙されて、特別に細工された Web サイトを開いた場合、攻撃者が、これらを悪用して、アプリケーションのクラッシュでサービス拒否を引き起こしたり、Firefox を起動しているユーザーの権限で任意のコードを実行したりする可能性があります。
(CVE-2015-4510)
Francisco Alonso 氏は、特定の状況下において 2D キャンバスレンダリングを行う際に領域外の読み込みを発見しました。ユーザーが誘導されて特別に細工された Web サイトを開くと、攻撃者がこれを悪用し、秘密情報を取得する可能性があります。(CVE-2015-4512)
Jeff Walden 氏は、特定の状況下において変更不可のプロパティに変更が行われることがあることを発見しました。ユーザーが騙されて特別に細工されたウェブサイトを開くと、攻撃者はこの欠陥を悪用して、特権範囲で任意のスクリプトを実行する可能性があります。(CVE-2015-4516)
Ronald Crane 氏は、複数の脆弱性を報告しています。ユーザーが騙されて、特別に細工された Web サイトを開くと、攻撃者は、これらを悪用して、アプリケーションのクラッシュによるサービス拒否を引き起こす可能性や、Firefox を呼び出すユーザーの権限で、任意のコードを実行する可能性があります。
(CVE-2015-4517, CVE-2015-4521, CVE-2015-4522, CVE-2015-7174, CVE-2015-7175, CVE-2015-7176, CVE-2015-7177, CVE-2015-7180)
Mario Gomes 氏は、リダイレクト後に画像をドラッグアンドドロップすると、リダイレクトされた URL がスクリプトに漏洩されることを発見しました。攻撃者がこれを悪用し、秘密情報を入手する可能性があります。(CVE-2015-4519)
Ehsan Akhgari 氏は、CORS prefight リクエストによる問題を 2 つ発見しました。攻撃者はこれらを悪用して CORS 制限をバイパスする可能性があります。(CVE-2015-4520)。
注意: Tenable Network Security は、前述の説明ブロックを Ubuntu セキュリティアドバイザリからすでに直接抽出しています。Tenable では、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。
ソリューション
影響を受ける ubufox および/または xul-ext-ubufox パッケージを更新してください。参考資料
プラグインの詳細
深刻度: High
ID: 86103
ファイル名: ubuntu_USN-2743-2.nasl
バージョン: 2.14
タイプ: local
エージェント: unix
ファミリー: Ubuntu Local Security Checks
公開日: 2015/9/23
更新日: 2023/10/20
サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: High
基本値: 9.3
現状値: 6.9
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
CVSS スコアのソース: CVE-2015-4516
脆弱性情報
CPE: p-cpe:/a:canonical:ubuntu_linux:xul-ext-ubufox, cpe:/o:canonical:ubuntu_linux:14.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:ubufox
必要な KB アイテム: Host/cpu, Host/Ubuntu, Host/Ubuntu/release, Host/Debian/dpkg-l
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2015/9/22
脆弱性公開日: 2015/9/24
参照情報
CVE: CVE-2015-4500, CVE-2015-4501, CVE-2015-4502, CVE-2015-4504, CVE-2015-4506, CVE-2015-4507, CVE-2015-4508, CVE-2015-4509, CVE-2015-4510, CVE-2015-4512, CVE-2015-4516, CVE-2015-4517, CVE-2015-4519, CVE-2015-4520, CVE-2015-4521, CVE-2015-4522, CVE-2015-7174, CVE-2015-7175, CVE-2015-7176, CVE-2015-7177, CVE-2015-7180
USN: 2743-2