Mozilla Firefox の nsSMILTimeContainer オブジェクトにおいてメモリ処理の不備に起因する Use-After-Free の脆弱性(Scan Tech Report)
Mozilla 社の Web ブラウザである Mozilla Firefox に、遠隔から任意のコードが実行させられてしまう脆弱性が報告されています。
脆弱性と脅威
エクスプロイト
Mozilla 社の Web ブラウザである Mozilla Firefox に、遠隔から任意のコードが実行させられてしまう脆弱性が報告されています。攻撃者は当該脆弱性を悪用して、脆弱な Web ブラウザの利用者に悪意のあるコードを実行させることが可能となります。Mozilla Firefox の利用者はソフトウェアのアップデートにより、当該脆弱性に対策することを推奨します。
----------------------------------------------------------------------
◆分析者コメント
本記事執筆時点の 2017 年 1 月 26 日では当該脆弱性のエクスプロイトコードは Windows に対応しているものしか公開されておらず、当該脆弱性の悪用による被害の報道は確認されていません。しかし、ソフトウェアの普及度合いを考慮すると、今後は当該脆弱性を悪用した事例が発生する可能性も考えられるため、Mozilla Firefox 系列の Web ブラウザの利用者には、当該脆弱性の影響を受けるかを確認し、アップデートにより対策することを推奨します。
----------------------------------------------------------------------
◆深刻度(CVSS)
[CVSS v2]
7.5
[CVSS v2]
6.3
※本記事執筆時点 (2017 年 1 月 26 日) で NVD などで CVSS 値の公開がされていないため、IPA が公開している CVSS 値を記載しています
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006096.html
----------------------------------------------------------------------
◆影響を受けるソフトウェア
以下のソフトウェアが当該脆弱性の影響を受けると報告されています。
・Firefox 50.0.2 未満
・Firefox ESR 45.5.1 未満
・Thunderbird 45.5.1 未満
・Tor Browser 6.0.7 未満
----------------------------------------------------------------------
◆解説
Mozilla 社の Web ブラウザである Mozilla Firefox に、遠隔から任意のコードが実行させられてしまう脆弱性が報告されています。
ソース・関連リンク
関連記事
![[新春対談] 一田 和樹 vs 辻 伸弘 : インターネットの善悪と2017年展望 画像](/imgs/p/2w5IdCqve0mMIzS4K5kC-28IDAerBQQDAgEA/21697.jpg)
Scan PREMIUM 会員限定記事
もっと見る-
研修・セミナー・カンファレンス選挙へのサイバー攻撃:その真の狙い ~ オランダ、ウクライナ、ギリシャの事例から
前回の大統領選挙ではクリントン陣営にロシアからの選挙介入があったとされ、今回の選挙でも他国からの介入や選挙妨害が予想されている。しかし、選挙へのサイバー攻撃の狙いは、特定候補や政党を当選させる工作だけではないという。
-
AIで自分のクローンを作る方法
専門は機械学習であるバス氏は、ネットフリックスのドラマにも触発され、バーチャル空間に自分の人格を学習させた疑似人格を生成する実験を始めたという。
-
中露が展開する世論ハッキング「キルチェーン」概要
スタンフォード大学インターネット観測所は、TwitterやFacebook他のアカウントを数万から数百万、プロフィールを含め解析し、とくに中国とロシアの世論操作(Hacking Public Opinion)の手法を研究した。その内容がBlackHat USA 2020の基調講演で発表された。
-
Microsoft Windows の Windows Update Orchestrator Service におけるCOM API への権限制御不備により管理者権限への昇格が可能となる脆弱性(Scan Tech Report)
2020 年 6 月に、Microsoft Windows で管理者権限の奪取が可能となる脆弱性が報告されています。
カテゴリ別新着記事
脆弱性と脅威 記事一覧へ
Active Directoryの認証コンポーネントに、管理者権限を窃取される脆弱性(JVN)
MobileIron提供の複数のMDM関連製品に脆弱性、パッチ適用を呼びかけ(JPCERT/CC)
TLS 1.2以前の暗号を解読する「Raccoon Attack」攻撃(JVN)
10月13日でMicrosoft Office 2010のサポート終了、移行を呼びかけ(IPA)
Trend Micro Deep Security および Virtual Patch for Endpoint に複数の脆弱性、対象製品を追加(JVN)
CTKDを用いるBluetooth BR/EDRおよびBLE端末において鍵情報が上書きされる脆弱性(JVN)
インシデント・事故 記事一覧へ
「ひでじビールオンラインショップ」に不正アクセス、カード決済停止後も決済情報流出(宮崎ひでじビール)
社内パソコンがEmotet感染、取引先でも不審メールを確認(山一商事)
LINEアカウントへ不正ログイン試行、日本が41,204件でTOPに(LINE)
閉鎖済みの「魚匠庵WEBサイト」から3,000件以上のカード情報流出(博多まるきた水産)
まさに「おつかれさま」9万件のPDFの次は工事図面の全庁調査実施(新潟県)
パスワードリスト型攻撃のフォレンジック調査で新たな不正ログイン判明(三越伊勢丹)
調査・レポート・白書 記事一覧へ
スキャン活動は引き続き活発、すでに2018年の総観測数を突破(NICT)
わかりやすさ重視、テレワークセキュリティのチェックリスト公開(総務省)
コロナウイルス関連のサイバー攻撃が急増--四半期レポート(NTTデータ)
二段階認証は資産関係でニーズが高いものの、2割は「面倒」(フィッシング対策協議会)
半導体と医療、制御システムで起こったランサムウェア事案公開(IPA)
「対策しないとどうなるか」まで記載、IoTガイドラインの解説編を公開(CCDS)
研修・セミナー・カンファレンス 記事一覧へ
フォレンジック調査の「後」を考えるオンラインセミナー開催 (CrowdStrike)
選挙へのサイバー攻撃:その真の狙い ~ オランダ、ウクライナ、ギリシャの事例から
優勝賞金100万円、Trend Micro CTF予選開催迫る(トレンドマイクロ)
AIで自分のクローンを作る方法
中露が展開する世論ハッキング「キルチェーン」概要
川口洋座談会ウェビナー第2回のテーマは「攻撃者目線でのホワイトボックス診断のメリット」(イエラエセキュリティ)
製品・サービス・業界動向 記事一覧へ
Active Directoryへの脅威を初期段階で検出(S&J)
開発者がセキュリティの責を負う時代到来か、セキュアコーディングのSaaS型eラーニングサービス開始(Flatt Security)
「CYTHEMIS」を国立研究開発法人物質・材料研究機構が導入、研究を効率化(東芝インフラシステムズ)
NECと提携、コロナ時代のオフィスに向け接触者追跡ソリューションほか提供(ジュニパーネットワークス)
自殺防止のためのリソースを増強、ハッシュタグでスペシャル絵文字も(Twitter Japan)
![[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ 画像](/imgs/std_m/28068.jpg)
