本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

KLA11271
Mozilla FirefoxとMozilla Firefox ESRの複数の脆弱性
更新日: 07/05/2018
CVSS
?
10.0
検出日
?
06/26/2018
危険度
?
緊急
説明

Mozilla FirefoxとMozilla Firefox ESRに複数の重大な脆弱性が存在します。悪意のあるユーザーは、これらの脆弱性を悪用してセキュリティ制限を回避し、任意のコードを実行し、サービス拒否を引き起こし、機密情報を取得する可能性があります。

以下に、脆弱性の完全な一覧を示します。

  1. 機密情報を入手するために、特別に設計されたウェブサイトを経由して、Mozilla Firefoxでの不正なリダイレクト処理をリモートから利用することができます。
  2. キャンバスレンダリングで発生するバッファオーバーフローの脆弱性は、特別に設計されたWebサイトを介してリモートから悪用され、サービス拒否を引き起こす可能性があります。
  3. 要素を削除する際に発生する使用後の脆弱性は、特別に設計されたWebサイトを介してリモートから悪用され、サービス拒否を引き起こす可能性があります。
  4. SwizzleDataの整数オーバーフローの脆弱性は、サービス拒否を引き起こすために特別に設計されたWebサイト経由でリモートから悪用される可能性があります。
  5. SSSE3スケーラの整数オーバーフローの脆弱性は、特別に設計されたWebサイトを介してリモートから悪用され、サービス妨害を引き起こす可能性があります。
  6. ドキュメント間で移動するDOMノードで発生するフリー・アフター・フリーの脆弱性は、特別に設計されたWebサイトを介してリモートから悪用され、サービス拒否を引き起こす可能性があります。
  7. 機密情報を取得するためにNPAPIプラグインでの不正なリクエスト処理を特別に設計されたWebサイト経由でリモートから利用することができます。
  8. IPCサンドボックスセキュリティポリシーの脆弱性は、機密情報を入手するために特別に設計されたWebサイトを介してリモートから悪用される可能性があります。
  9. 機密情報を取得するために、特別に設計されたWebサイトを介してリモートからQCMSの範囲外の読み取り脆弱性を悪用することができます。
  10. PerformanceNavigationTimingメソッドに関連する脆弱性は、Spectreの軽減をバイパスするために悪用される可能性があります。
  11. ブラウザに関連する脆弱性は、実行可能ファイルをSettingContent-ms拡張子で開くときにユーザーに警告しません。
  12. WebExtensionsでの不適切な認可プロセスの処理は、特権を得るために悪用される可能性があります。
  13. 機密情報を取得するためにSameSiteの不正なデフォルトのセキュリティ設定の脆弱性が悪用される可能性があります。
  14. Skiaライブラリの整数オーバーフローの脆弱性は、サービス拒否を引き起こすためにリモートから悪用される可能性があります。

技術的な詳細

脆弱性(1,13,14)はMozilla Firefoxにのみ影響します。

脆弱性(4,12)は、Mozilla FirefoxおよびMozilla Firefox ESR 60にのみ影響します。

脆弱性(11)はMozilla Firefox ESRにのみ影響します。

脆弱性(12)はWindows 10ユーザーにのみ影響します。

影響を受ける製品

Mozilla Firefox 61より前
Mozilla Firefox ESR 52 52.9より前
60.1より前のMozilla Firefox ESR 60

解決法

最新バージョンへのアップデート
Mozilla Firefox ESRをダウンロード
Mozilla Firefoxをダウンロード

オリジナル勧告

Mozilla Foundation Security Advisory 2018-16
Mozilla Foundation Security Advisory 2018-15
Mozilla Foundation Security Advisory 2018-17

影響
?
ACE 
[?]

OSI 
[?]

SB 
[?]

PE 
[?]

DoS 
[?]
関連製品
Mozilla Firefox ESR
Mozilla Firefox
CVE-IDS
?

CVE-2018-5188
CVE-2018-5187
CVE-2018-5186
CVE-2018-5156
CVE-2018-12371
CVE-2018-12370
CVE-2018-12369
CVE-2018-12368
CVE-2018-12367
CVE-2018-12366
CVE-2018-12365
CVE-2018-12364
CVE-2018-12363
CVE-2018-12362
CVE-2018-12361
CVE-2018-12360
CVE-2018-12359
CVE-2018-12358


オリジナルへのリンク