Mozilla Firefox の nsSMILTimeContainer オブジェクトにおいてメモリ処理の不備に起因する Use-After-Free の脆弱性(Scan Tech Report)
Mozilla 社の Web ブラウザである Mozilla Firefox に、遠隔から任意のコードが実行させられてしまう脆弱性が報告されています。
脆弱性と脅威
エクスプロイト
Mozilla 社の Web ブラウザである Mozilla Firefox に、遠隔から任意のコードが実行させられてしまう脆弱性が報告されています。攻撃者は当該脆弱性を悪用して、脆弱な Web ブラウザの利用者に悪意のあるコードを実行させることが可能となります。Mozilla Firefox の利用者はソフトウェアのアップデートにより、当該脆弱性に対策することを推奨します。
----------------------------------------------------------------------
◆分析者コメント
本記事執筆時点の 2017 年 1 月 26 日では当該脆弱性のエクスプロイトコードは Windows に対応しているものしか公開されておらず、当該脆弱性の悪用による被害の報道は確認されていません。しかし、ソフトウェアの普及度合いを考慮すると、今後は当該脆弱性を悪用した事例が発生する可能性も考えられるため、Mozilla Firefox 系列の Web ブラウザの利用者には、当該脆弱性の影響を受けるかを確認し、アップデートにより対策することを推奨します。
----------------------------------------------------------------------
◆深刻度(CVSS)
[CVSS v2]
7.5
[CVSS v2]
6.3
※本記事執筆時点 (2017 年 1 月 26 日) で NVD などで CVSS 値の公開がされていないため、IPA が公開している CVSS 値を記載しています
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-006096.html
----------------------------------------------------------------------
◆影響を受けるソフトウェア
以下のソフトウェアが当該脆弱性の影響を受けると報告されています。
・Firefox 50.0.2 未満
・Firefox ESR 45.5.1 未満
・Thunderbird 45.5.1 未満
・Tor Browser 6.0.7 未満
----------------------------------------------------------------------
◆解説
Mozilla 社の Web ブラウザである Mozilla Firefox に、遠隔から任意のコードが実行させられてしまう脆弱性が報告されています。
関連記事
![[新春対談] 一田 和樹 vs 辻 伸弘 : インターネットの善悪と2017年展望 画像](/imgs/p/2w5IdCqve0mMIzS4K5kC-28IDAerBQQDAgEA/21697.jpg)
Scan PREMIUM 会員限定記事
もっと見る-
脆弱性と脅威Microsoft Windows の AppXSvc において設定ファイルの操作時のハードリンク検証不備により任意のファイルが上書き可能となる脆弱性(Scan Tech Report)
Microsoft Windows に、サービス起動時に操作するファイルの検証不備に起因する、任意のファイルの書き換えが可能となる脆弱性が、報告されています。
-
汚染された Tor ブラウザ、狙われるダークウェブ利用者
ダークウェブへの入り口ともいえるTorブラウザ。オニオンルーターという追跡を困難にするしくみを利用したブラウザで、ブラック、ホワイトを問わずハッカー御用達ブラウザといってよい。そのTorが悪人によって汚染されていたらどうなるのか?
-
DNS over HTTPS はインターネットの良心を破壊するか? ポール・ビクシー講演
Farsight SecurityのCEO ポール・ビクシー氏が、DNS over HTTPS(DoH)について講演した。DoHは、いくつかのブラウザで実装が進み、試験運用などがスタートしているが、DNSの権威であるビクシー氏はどう考えているのだろうか。
-
サイント岩井博樹の 2019 年全体総括 ほか [Scan PREMIUM Monthly Executive Summary]
2019 年は全体的なサイバー攻撃傾向として、サプライチェーンや取引先を通じたサイバー攻撃事案が多く確認されました。包括的なサイバーセキュリティ対策が世界的に求められていますが、その責任範囲を示すものが無い上、現実的な対応にも限界が見られました。
ソース・関連リンク
カテゴリ別新着記事
脆弱性と脅威 記事一覧へ
「IE」のJScriptスクリプトエンジンに未対策の脆弱性、悪用も確認(JVN)
Microsoft Windows の AppXSvc において設定ファイルの操作時のハードリンク検証不備により任意のファイルが上書き可能となる脆弱性(Scan Tech Report)
「パスワードマネージャー」に情報漏えいの2つの脆弱性(トレンドマイクロ、JVN)
OracleがJavaをアップデート、ライセンス変更にも注意(IPA、JPCERT/CC)
マイクロソフトが1月のセキュリティ情報を公開、早急に適用を(IPA、JPCERT/CC)
Intelが複数の製品に対するアップデートを公開(JVN)
インシデント・事故 記事一覧へ
不正アクセスによる情報流出、送信ファイルを特定するためのログを攻撃者が消去(三菱電機)
小学校講師が児童の個人情報を保存したUSBメモリを紛失(熊本市)
「修正通知書」の送付先を誤り法人情報が漏えい、大和高田市を大和郡山市に(大阪市)
Google form設定誤りで「note pro」関連情報が他の取引企業から閲覧可能に(ピースオブケイク)
第三者からの不正アクセスで個人情報と企業情報が外部流出した可能性(三菱電機)
メールアカウントへの不正アクセスで迷惑メール送信の踏み台に(東京企画)
調査・レポート・白書 記事一覧へ
ディープフェイク、偽旗攻撃、ランサムウェア--2020年サイバー脅威予測(カスペルスキー)
「改ざんサイト」は2019年8月から急増、検索結果から誘導(デジタルアーツ)
セキュリティソフトに「防御率の高さ」と「動きの軽快さ」の改善を期待(NTTコム オンライン)
企業のメールセキュリティは改善傾向、特に送信元ドメイン認証で顕著(デージーネット)
ドイツBSIの産業用制御システムのセキュリティ10大脅威を翻訳して提供(IPA)
日本セキュリティ監査協会が選ぶ2020セキュリティ10大トレンド(JASA)
研修・セミナー・カンファレンス 記事一覧へ
インターネット安全利用の基礎を学ぶ無料セミナー(fjコンサルティング)
汚染された Tor ブラウザ、狙われるダークウェブ利用者
「自分たちの方が顧客に付加価値を提供できる」PCI DSS 準拠のための脆弱性スキャンとペネトレーションテスト内製化を実現 ~ スマート・ツー株式会社
DNS over HTTPS はインターネットの良心を破壊するか? ポール・ビクシー講演
「子供とネットについて考える!」をテーマにネット安全安心全国推進フォーラムを開催(文部科学省)
子どものネット依存に悩む家族が相談し交流(KENZAN)
製品・サービス・業界動向 記事一覧へ
脆弱性診断の「T型フォード」、技術標準化は学生のセキュリティ業界就職の可能性広げるか
「Exosphere Endpoint Protection」シリーズにDLP製品など追加(JSecurity)
O365活用クラウドサービスにOutlookアドインの誤送信対策ツール追加(SBT)
クラウド環境でもオンプレミスと同じ監視を「Deep Security」で実現(NTTデータ先端技術)
機械学習とAIで工場IoTの可視化と異常の予兆検知、対応策を提示(ネットワンパートナーズ)
脆弱性情報を自動収集、リスク情報をレポートするサービスのβ版(エイチ・シー・ネットワークス)
おしらせ 記事一覧へ
ScanNetSecurity 創刊21周年御礼の辞(上野宣)
編集部海外取材土産プレゼント 2019
![[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ 画像](/imgs/std_m/28068.jpg)
[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ
毎月初に配信されている Scan PREMIUM Monthly Executive Summary とは? 執筆者に聞くその内容と執筆方針
![[配信予告] CSIRTの終焉? 平成最後のリスクテイク、桜の名所であの純愛カップルが撮影敢行 画像](/imgs/std_m/27120.jpg)
[配信予告] CSIRTの終焉? 平成最後のリスクテイク、桜の名所であの純愛カップルが撮影敢行
