説明
Mozilla Firefoxでは複数の重大な脆弱性が発見されています。悪意のあるユーザーは、これらの脆弱性を悪用して機密情報を取得し、サービス拒否を引き起こし、特権を取得し、任意のコードを実行し、XSS攻撃を実行し、セキュリティ制限を回避する可能性があります。
以下に、脆弱性の完全な一覧を示します。
- SVGアニメーションやクリップパスで使用後の脆弱性がリモートから悪用され、任意のコードを実行したり、サービス拒否を引き起こしたりする可能性があります。
- SVGアニメーションやテキストパスでの使用後の脆弱性をリモートから悪用して、任意のコードを実行したり、サービス不能を引き起こしたりする可能性があります。
- PDFビューアの同じ起点バイパス脆弱性は、任意のコードを実行するためにリモートから悪用される可能性があります。
- PDF Viewerのコードインジェクションの脆弱性は、任意のコードを実行するためにリモートから悪用される可能性があります。
- Skiaの整数オーバーフローおよび境界外書き込みは、サービス拒否を引き起こすためにリモートから悪用される可能性があります。
- WebRTCエンコーダでの初期化されていないメモリの使用は、サービス拒否を引き起こすためにリモートから悪用される可能性があります。
- WebExtentionsの情報漏えいの脆弱性は、機密情報を取得するためにリモートから悪用される可能性があります。
- 混在したコンテンツWebsocketメッセージの範囲外の読み取り脆弱性は、サービス拒否を引き起こすためにリモートから悪用される可能性があります。
- JavaScriptの特定されていない脆弱性スタートアップのバイトコードキャッシュをリモートから悪用して特権を得ることができます。
- CSPの不特定の脆弱性をリモートから悪用して、クロスサイトスクリプティング攻撃を行うことができます。
- WebExtensionsの許可バイパス脆弱性は、セキュリティ制限を回避するためにリモートから悪用される可能性があります。
- JavaScriptデバッガの不特定の脆弱性をリモートから悪用して不特定の攻撃を行うことができます。
- 不特定の脆弱性がリモートから悪用され、セキュリティ制限を回避できます。
- 不特定の脆弱性がリモートから悪用され、任意のコードを実行する可能性があります。
- 機密情報を取得するために、不特定の脆弱性がリモートから悪用される可能性があります。
- 不特定の脆弱性がリモートから悪用され、任意のコードを実行する可能性があります。
- CSPの不特定の脆弱性は、セキュリティ制限を回避するためにリモートから悪用される可能性があります。
- 機密情報を取得するために、JSON Viewerのスクリプトインジェクションの脆弱性をリモートから悪用することができます。
- XSLTのバッファオーバーフローの脆弱性は、サービス拒否を引き起こすためにリモートから悪用される可能性があります。
- バッファオーバーフローの脆弱性は、UTF8を介してリモートからJavaScriptのUnicode文字列変換に悪用され、非常に大量のデータを使用してサービス拒否を引き起こす可能性があります。
- フラッシュ保護モードに関連する脆弱性は、リモートから悪用され、不特定の攻撃を行う可能性があります。
- WebGLのuse-after-free脆弱性は、サービス拒否を引き起こすためにリモートから悪用される可能性があります。
技術的な詳細
脆弱性(6) – (15)と(17) – (19)、(21)、(22)はMozilla Firefoxにのみ影響します。
脆弱性(20)はMozilla Firefox ESRにのみ影響します。
脆弱性(16)は、2018年4月以降のアップデートを実行しているWindows 10ユーザーにのみ影響します。他のWindowsユーザーや他のオペレーティングシステムには影響しません。
注:現時点では、Mozillaはこれらの脆弱性のCVE番号を予約しています。情報はすぐに変更することができます。
オリジナルアドバイザリー
CVEリスト
も参照してください
お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com
この脆弱性についての記述に不正確な点がありますか? お知らせください!