説明
FirefoxとFirefox ESRに重大な脆弱性が複数発見されています。悪意のあるユーザーは、これらの脆弱性を利用してサービス拒否、セキュリティ制限のバイパス、ユーザーインターフェイスのスプーフィング、クロスサイトスクリプティングの実行、特権の取得および任意のコードの実行を行うことができます。
- サービス拒否の脆弱性をリモートから悪用してサービス拒否を引き起こす可能性があります。
- リソースタイミングAPIの脆弱性は、セキュリティ制限を回避するためにサービスエラーを介してリモートから悪用される可能性があります。
- セキュリティラッパーの脆弱性は、セキュリティ制限を回避するためにdeprecated exposedPropsメカニズムを介してリモートから悪用される可能性があります。
- アドレスバーの文字「i」のレンダリングにおけるエラーは、ドメイン名の偽造によって遠隔から利用され、ユーザーインターフェースを偽装する。
- 一部のフォントのレンダリングに関連する脆弱性は、セキュリティ制限を回避するためにリモートから悪用される可能性があります。
-
data:関連する脆弱性data:URLの読み込みは、コンテンツセキュリティポリシーを介してリモートから悪用され、クロスサイトスクリプティングを実行できます。 - セキュアな混合ブロックの脆弱性は、セキュリティの制限をバイパスするためにリモートから悪用される可能性があります。
- Firefox Health Reportの脆弱性は、特権を得るために実行可能な "pingsender"を介してローカルで悪用される可能性があります。
- SVGの脆弱性は、セキュリティ制限を回避するためのクッキーの設定を介してリモートから悪用される可能性があります。
- Punycodeの脆弱性は、ユーザーインターフェイスを偽装するためにリモートから悪用される可能性があります。
- javascript:URLS貼り付けに関連する脆弱性を利用して、自己サイト間スクリプトを実行することができます。
- リファラーポリシー属性に関連する脆弱性は、セキュリティ要求をバイパスするネットワーク要求を介して悪用される可能性があります。
- メモリの安全性バグのために発生する複数のメモリ破損の脆弱性は、リモートから任意のコードを実行するために悪用される可能性があります。
技術的な詳細
脆弱性(8)は、OS XおよびLinux用のFirefoxにのみ影響します。他のオペレーティングシステムは影響を受けません。
脆弱性(13)は、Mozilla Firefox 56およびFirefox ESR 52.4にのみ影響します。
HTTPSからHTTPへのリダイレクトで脆弱性(7)が発生する
脆弱性1,2,13はMozilla Firefox ESRに関連しています。
すべての脆弱性はMozilla Firefoxに関連しています。
注:この脆弱性には公開CVSSレーティングがないため、レーティングは時間によって変更できます。
オリジナルアドバイザリー
CVEリスト
も参照してください
お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com
この脆弱性についての記述に不正確な点がありますか? お知らせください!