本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

KLA10525
Mozilla Firefox、Mozilla Firefox ESR、Mozilla Thunderbirdの複数の脆弱性
更新日: 07/05/2018
検出日
?
03/31/2015
危険度
?
緊急
説明

Mozilla Firefoxが37.0より前、Mozilla Firefox ESR 31.xが31.6より前、Mozilla Thunderbirdが31.6より前に複数の深刻な脆弱性が発見されています。悪意のあるユーザーは、これらの脆弱性を利用して任意のコードを実行し、サービス拒否(ヒープメモリ破損)を引き起こし、意図したユーザー確認の要件を回避できます。

以下は、脆弱性の完全なリストです

  1. 不適切なリソース:同じオリジンポリシーを迂回する任意のJavaScriptコードの実行につながる可能性のあるURL制限。
  2. ブラウザエンジンの複数の不特定の脆弱性は、未知のベクトルによって悪用される可能性があります。
  3. 37.0より前のMozilla Firefoxでの軽量テーマアドオンインストールのためのHTTPSセッション強制の欠如は、中間者攻撃につながる可能性があります。
  4. Mozilla FirefoxでのQCMSの実装は、変換中に不適切に処理されたイメージを介して悪用される可能性があります。
  5. 37.0より前のMozilla FirefoxでのWebRTC実装のwebrtc :: VPMContentAnalysis :: Release関数は、不特定のベクトルを介して利用することができます。
  6. navigator.sendBeaconの実装は、細工されたWebサイトを介して悪用される可能性があります。
  7. 37.0より前のMozilla Firefoxでのオフメインスレッド合成(OMTC)の実装は、2Dグラフィックスコンテンツのレンダリングをトリガするベクトルを介して利用することができます。
  8. Mozilla Firefoxの37.0より前のHTMLSourceElement :: BindToTree関数は、SOURCE要素を含む細工されたHTMLドキュメントを介して悪用される可能性があります。
影響を受ける製品

37.0より前のMozilla Firefox
Mozilla Firefox ESR 31.xより前31.6
Mozilla Thunderbird 31.6より前

解決法

最新バージョンへのアップデート
Mozilla Thunderbirdを入手する
Mozilla Firefox ESRを入手する
Mozilla Firefoxを入手する

オリジナル勧告

Mozilla Foundation Security Advisories

影響
?
WLF 
[?]

ACE 
[?]

OSI 
[?]

DoS 
[?]
関連製品
Mozilla Thunderbird
Mozilla Firefox ESR
Mozilla Firefox
CVE-IDS
?

CVE-2015-0804
CVE-2015-0805
CVE-2015-0806
CVE-2015-0807
CVE-2015-0808
CVE-2015-0810
CVE-2015-0811
CVE-2015-0812
CVE-2015-0813
CVE-2015-0814
CVE-2015-0815
CVE-2015-0816


オリジナルへのリンク