Kaspersky Threats

検出日

?

12/13/2016

危険度

?

緊急

説明

Mozilla Firefox ESRには複数の重大な脆弱性が存在します。悪意のあるユーザーは、これらの脆弱性を悪用して、セキュリティ制限を回避したり、機密情報を入手したり、任意のコードを実行したり、サービス不能を引き起こしたり、特権を獲得したり、コードを注入することができます。

以下に、脆弱性の完全な一覧を示します。

未知の脆弱性はマーキータグを介してリモートから悪用され、セキュリティ制限を回避し、インラインJavaScriptを許可することができます。
libGLES内のさまざまな配列を持つベクトルコンストラクタを含むWebGL関数を使用している間のメモリ破損は、リモートから悪用され、サービス拒否を引き起こす可能性があります。
DOMサブツリーを使用して操作を実行しているときにEditorで使用可能なフリーの脆弱性がリモートから悪用され、サービス不能を引き起こす可能性があります。
未知の脆弱性は、SVGの細工された画像やデータの使用を介してリモートから悪用される可能性があります。セキュリティ制限を回避し機密情報を取得するURL。
悪意のあるユーザーは、JavaScript Map / Setタイミング攻撃を使用して、別のコンパートメントまたはゾーンによって特定のコンテキストでアトムが使用されているかどうかを調べることができます。これは、機密情報（例えば、JavaScriptコードに埋め込まれたユーザー名）を取得するために実行できます。
ファイルの追加/削除中にEnumerateDocumentsで発生したエラーは、リモートから悪用され、サービス拒否を引き起こす可能性があります。
実行前にPocket Serverから不適切に消されたデータは、HTML注入とPocketのメッセージングAPIへのアクセスの可能性があります。
ポケット拡張機能で受信した受信イベントの不適切な検証や発信元のため、悪意のあるユーザーはイベントを発生させたり、コードやコマンドを注入したりすることができます。
メモリの安全性のバグは、任意のコードを実行するために悪用される可能性があります。

技術的な詳細

脆弱性（8）は、e10を有効にしたユーザーには影響しません。

注：この脆弱性には公開CVSS評価がないため、評価は時間によって変更できます。

注：現時点では、Mozillaはこれらの脆弱性のためにCVE番号を予約しました。情報はすぐに変更することができます。

影響を受ける製品

Mozilla Firefox ESR 45.5.1

解決法

最新バージョンへのアップデート
Mozilla Firefox ESRをダウンロード

オリジナル勧告

Mozilla Foundation Security Advisory 2016-95

影響

?

CI

[?]

OSI

[?]

SB

[?]

PE

[?]

DoS

[?]

CVE-IDS

?

CVE-2016-9902
CVE-2016-9901
CVE-2016-9893
CVE-2016-9905
CVE-2016-9904
CVE-2016-9900
CVE-2016-9898
CVE-2016-9897
CVE-2016-9895
CVE-2016-9899

オリジナルへのリンク

お住まいの地域に広がる脆弱性の統計をご覧ください

検出日 ?	12/13/2016
危険度 ?	緊急
説明	Mozilla Firefox ESRには複数の重大な脆弱性が存在します。悪意のあるユーザーは、これらの脆弱性を悪用して、セキュリティ制限を回避したり、機密情報を入手したり、任意のコードを実行したり、サービス不能を引き起こしたり、特権を獲得したり、コードを注入することができます。以下に、脆弱性の完全な一覧を示します。未知の脆弱性はマーキータグを介してリモートから悪用され、セキュリティ制限を回避し、インラインJavaScriptを許可することができます。 libGLES内のさまざまな配列を持つベクトルコンストラクタを含むWebGL関数を使用している間のメモリ破損は、リモートから悪用され、サービス拒否を引き起こす可能性があります。 DOMサブツリーを使用して操作を実行しているときにEditorで使用可能なフリーの脆弱性がリモートから悪用され、サービス不能を引き起こす可能性があります。未知の脆弱性は、SVGの細工された画像やデータの使用を介してリモートから悪用される可能性があります。セキュリティ制限を回避し機密情報を取得するURL。悪意のあるユーザーは、JavaScript Map / Setタイミング攻撃を使用して、別のコンパートメントまたはゾーンによって特定のコンテキストでアトムが使用されているかどうかを調べることができます。これは、機密情報（例えば、JavaScriptコードに埋め込まれたユーザー名）を取得するために実行できます。ファイルの追加/削除中にEnumerateDocumentsで発生したエラーは、リモートから悪用され、サービス拒否を引き起こす可能性があります。実行前にPocket Serverから不適切に消されたデータは、HTML注入とPocketのメッセージングAPIへのアクセスの可能性があります。ポケット拡張機能で受信した受信イベントの不適切な検証や発信元のため、悪意のあるユーザーはイベントを発生させたり、コードやコマンドを注入したりすることができます。メモリの安全性のバグは、任意のコードを実行するために悪用される可能性があります。技術的な詳細脆弱性（8）は、e10を有効にしたユーザーには影響しません。注：この脆弱性には公開CVSS評価がないため、評価は時間によって変更できます。注：現時点では、Mozillaはこれらの脆弱性のためにCVE番号を予約しました。情報はすぐに変更することができます。
影響を受ける製品	Mozilla Firefox ESR 45.5.1
解決法	最新バージョンへのアップデート Mozilla Firefox ESRをダウンロード
オリジナル勧告	Mozilla Foundation Security Advisory 2016-95
影響 ?	CI [?] OSI [?] SB [?] PE [?] DoS [?]
CVE-IDS ?	CVE-2016-9902 CVE-2016-9901 CVE-2016-9893 CVE-2016-9905 CVE-2016-9904 CVE-2016-9900 CVE-2016-9898 CVE-2016-9897 CVE-2016-9895 CVE-2016-9899
	オリジナルへのリンク
	お住まいの地域に広がる脆弱性の統計をご覧ください

KLA10913Mozilla Firefox ESRの複数の脆弱性

KLA10913
Mozilla Firefox ESRの複数の脆弱性