説明
Mozilla Firefoxが37.0より前、Mozilla Firefox ESR 31.xが31.6より前、Mozilla Thunderbirdが31.6より前に複数の深刻な脆弱性が発見されています。悪意のあるユーザーは、これらの脆弱性を利用して任意のコードを実行し、サービス拒否(ヒープメモリ破損)を引き起こし、意図したユーザー確認の要件を回避できます。
以下は、脆弱性の完全なリストです
- 不適切なリソース:同じオリジンポリシーを迂回する任意のJavaScriptコードの実行につながる可能性のあるURL制限。
- ブラウザエンジンの複数の不特定の脆弱性は、未知のベクトルによって悪用される可能性があります。
- 37.0より前のMozilla Firefoxでの軽量テーマアドオンインストールのためのHTTPSセッション強制の欠如は、中間者攻撃につながる可能性があります。
- Mozilla FirefoxでのQCMSの実装は、変換中に不適切に処理されたイメージを介して悪用される可能性があります。
- 37.0より前のMozilla FirefoxでのWebRTC実装のwebrtc :: VPMContentAnalysis :: Release関数は、不特定のベクトルを介して利用することができます。
- navigator.sendBeaconの実装は、細工されたWebサイトを介して悪用される可能性があります。
- 37.0より前のMozilla Firefoxでのオフメインスレッド合成(OMTC)の実装は、2Dグラフィックスコンテンツのレンダリングをトリガするベクトルを介して利用することができます。
- Mozilla Firefoxの37.0より前のHTMLSourceElement :: BindToTree関数は、SOURCE要素を含む細工されたHTMLドキュメントを介して悪用される可能性があります。
オリジナルアドバイザリー
CVEリスト
も参照してください
お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com
この脆弱性についての記述に不正確な点がありますか? お知らせください!