本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。
Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。
検出日
?
|
09/22/2015 |
危険度
?
|
緊急 |
説明
|
Mozilla Firefoxでは複数の重大な脆弱性が発見されています。悪意のあるユーザーは、これらの脆弱性を利用してサービス拒否、セキュリティ制限のバイパス、特権の取得、ユーザーインターフェイスのスプーフィング、ローカルファイルへの影響、任意のコードの実行、機密情報の取得を行うことができます。 以下は、脆弱性の完全なリストです
技術的な詳細 脆弱性(2)はアレイの最後を過ぎてデータが漏れることに関連しています。 Firefox OSで使用される脆弱性につながる機能で、他のオペレーティングシステムではデフォルトでは無効になっています。 (3) QCMSカラー管理ライブラリに関連し、画像のICC V4プロファイルで特定の属性によってトリガすることができる。 URLが不明なプロトコルで貼り付けられた場合、貼り付けられたURLは表示されますが、ナビゲーションは行われません。 URL貼り付けの前に存在する他のアドレスバーの属性はレンダリングを続行します。これは脆弱性(4)を引き起こします。この脆弱性はAndroid用のFirefoxにのみ影響します。 (5) Mozillaアップデータがユーザーコントロール下の作業ディレクトリから更新されたファイルをロードする可能性が原因です。この脆弱性はWindowsシステムのみで実際に起こります。 脆弱性(7)は、デバッガが使用されている場合にのみ発生しますが、潜在的に悪用される可能性があります。 (8)では、URLを偽装することができますが、リーダモードの制限によって緩和される潜在的な効果があります。 (10)ネストライブラリーによって引き起こされ、WebMビデオで特別に設計されたヘッダーを介してトリガーすることができます。 脆弱性(12)により、32ビットの色深度で作成されたが16ビットの色深度システムで表示されたサーフェスの場合、cairoグラフィックスライブラリが発生しました。このようにして、攻撃者は16ビットのサーフェスメモリヒープに続いてメモリ内の情報を取得できます。この脆弱性は、Linuxのみで悪用される可能性があります。 (13)は、ウェブページがウィンドウ用のスクリプトプロキシを作成したときに発生し、内側ウィンドウ用に特別に設計されたハンドラ参照が渡されます。 ECMAScript 5 APIに起因する脆弱性(14) 。各APIに固有のロジックで構成できないプロパティを強制します。 API vanバイパス保護をバイパスし、不変プロパティを変更するスクリプト。 (15)は、リダイレクト後にコンテンツにドラッグアンドドロップされたイメージをロードした場合の状況によって引き起こされます。この場合、リダイレクトされたURLはスクリプトで使用できます。 場合によっては、サイト上の2回のプリフライトリクエストに対して同じキャッシュキーを生成することができます。その結果、要求が一致すると、キャッシュされたキーはCORSチェックをバイパスし、 (16)に進みます。 (17)は、CORS応答から逃した場合、不適切に再利用される可能性のあるアクセス制御ヘッダーに関連しています。 (18)は、Network Utils.cpp、ConvertFialogOptinos、nsUnicodeToUTF8 :: GetMaxLength、nsAttrAndChildArray :: GrowBy、XULContentSinkImpl :: AddText、AnimationThread、InitTextures、およびReadbackResultWriterD3D11:Runの複数の脆弱性を記述しています。 (19) WebGLおよびOpenGLコンテンツに使用されるANGLEグラフィックスライブラリのlibGLES部分での境界チェックの不足および不十分なメモリ割り当てによる。この脆弱性はWindowsシステムにのみ影響します。 performance.now()は、タイミングに1ナノ秒の分解能を使用します。これにより、最終レベルのキャッシュやWindowsカウンタのようなその他の機密情報への追跡アクセスが可能になります。上記の状況によって引き起こされた脆弱性(20)は、解決を5マイクロ秒に減らすことによって対処されました。 Windowsカウンタの頻度は、Windows以外のシステムに影響します。 |
影響を受ける製品
|
41より前のMozilla Firefoxのバージョン |
解決法
|
最新バージョンへのアップデート |
オリジナル勧告
|
|
影響
?
|
WLF
[?] SUI [?] ACE [?] OSI [?] SB [?] PE [?] DoS [?] |
CVE-IDS
?
|
CVE-2015-4476 |
オリジナルへのリンク |
|
お住まいの地域に広がる脆弱性の統計をご覧ください |