説明
Mozilla FirefoxとMozilla Firefox ESRに複数の重大な脆弱性が存在します。悪意のあるユーザーは、これらの脆弱性を悪用してサービス拒否、ユーザーインターフェイスの偽装、機密情報の取得、任意のコードの実行、クロスサイトスクリプティング攻撃の実行、セキュリティ制限のバイパスを行うことができます。
以下に、脆弱性の完全な一覧を示します。
- バッファオーバーフローの脆弱性は、スクリプトを介してSVG animatedPathSegListを操作してサービス拒否を引き起こすことにより、リモートから悪用される可能性があります。
- サービス拒否の脆弱性をリモートから悪用してサービス拒否を引き起こす可能性があります。
- IPC messegasのパラメータの不特定の脆弱性は、サービス拒否を引き起こすためにリモートから悪用される可能性があります。
- WebRTC接続の不特定の脆弱性は、サービス拒否を引き起こすためにリモートから悪用される可能性があります。
- fetch()APIの不特定の脆弱性をリモートから悪用して、セキュリティ制限を回避できます。
- WebExtensions用のFind APIの不特定の脆弱性は、機密情報を取得するためにリモートから悪用される可能性があります。
- app.support.baseURL設定の変更に関連する不特定の脆弱性は、XSS(クロスサイトスクリプティング)攻撃を実行するためにリモートから悪用される可能性があります。
- WebExtensionsの不特定の脆弱性は、セキュリティ制限を回避するためにリモートから悪用される可能性があります。
- WebExtensionsの不特定の脆弱性をリモートから悪用して、クロスサイトスクリプティング(XSS)攻撃を行うことができます。
-
data:から共有ワーカーを作成することに関連する不特定の脆弱性data:URLをリモートから悪用してセキュリティ制限を回避することができます。 - 極端に長いドメイン名を持つAndroidカスタムタブの悪意のあるサイトを開くことに関する偽の脆弱性は、ユーザーインターフェイスを偽装するためにリモートから悪用される可能性があります。
-
moz-icon:プロトコルに関連する不特定の脆弱性は、機密情報を取得するためにリモートから悪用される可能性があります。 - 通知Push APIの不特定の脆弱性は、サービス拒否を引き起こすためにリモートから悪用される可能性があります。
- メディアキャプチャおよびストリームAPIのアクセス許可に関連する不特定の脆弱性は、リモートからユーザーインターフェイスを偽装するために悪用される可能性があります。
-
javascript:を使用したURLに関連する不特定の脆弱性javascript:リモートからクロスサイトスクリプティング(XSS)攻撃を行うために悪用される可能性があります。 - 複数のメモリ破損の脆弱性をリモートから悪用して任意のコードを実行することができます。
- テキストのUnicode文字への変換に関連する整数オーバーフローの脆弱性は、サービス拒否を引き起こすためにリモートから悪用される可能性があります。
技術的な詳細
脆弱性(2)、(6) – (15)はMozilla Firefoxにのみ影響します。
脆弱性(17)はMozilla Firefox ESRにのみ影響します。
注:この脆弱性には公開CVSSの格付けがないため、格付けは時間によって変更することができます。
オリジナルアドバイザリー
CVEリスト
も参照してください
お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com
この脆弱性についての記述に不正確な点がありますか? お知らせください!