JVNDB-2016-001756

Mozilla Firefox の mozilla::DataChannelConnection::Close 関数における任意のコードを実行される脆弱性

Mozilla Firefox の mozilla::DataChannelConnection::Close 関数には、解放済みメモリの使用 (Use-after-free) により、任意のコードを実行される脆弱性が存在します。

補足情報 : CWE による脆弱性タイプは、CWE-416: Use-after-free (解放済みメモリの使用) と識別されています。
http://cwe.mitre.org/data/definitions/416.html

Mozilla Foundation

• Mozilla Firefox 45.0 未満
• Mozilla Firefox ESR 38.7 未満の 38.x

openSUSE project

• openSUSE

オラクル

• Oracle Linux

第三者により、WebRTC データチャンネル接続の誤った処理を利用されることで、任意のコードを実行される可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Mozilla Foundation

• Mozilla Bugzilla : Bug 1240760
• Mozilla Foundation Security Advisory : MFSA2016-25
• Mozilla Foundation セキュリティアドバイザリ : MFSA2016-25

openSUSE project

• opensuse-security-announce : SUSE-SU-2016:0727
• opensuse-security-announce : SUSE-SU-2016:0777
• opensuse-security-announce : SUSE-SU-2016:0820
• opensuse-security-announce : SUSE-SU-2016:0909
• opensuse-security-announce : openSUSE-SU-2016:0731
• opensuse-security-announce : openSUSE-SU-2016:0733
• opensuse-security-announce : openSUSE-SU-2016:0876
• opensuse-security-announce : openSUSE-SU-2016:0894

オラクル

• Oracle Technology Network : Oracle Linux Bulletin - January 2016

1. その他(CWE-Other) [NVD評価]

1. CVE-2016-1962

1. National Vulnerability Database (NVD) : CVE-2016-1962

• [2016年03月18日]
    掲載
  [2016年12月08日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：Mozilla Foundation (Bug 1240760) を追加
    ベンダ情報：オラクル (Oracle Linux Bulletin - January 2016) を追加
    ベンダ情報：openSUSE project (SUSE-SU-2016:0727) を追加
    ベンダ情報：openSUSE project (SUSE-SU-2016:0777) を追加
    ベンダ情報：openSUSE project (SUSE-SU-2016:0820) を追加
    ベンダ情報：openSUSE project (SUSE-SU-2016:0909) を追加
    ベンダ情報：openSUSE project (openSUSE-SU-2016:0731) を追加
    ベンダ情報：openSUSE project (openSUSE-SU-2016:0733) を追加
    ベンダ情報：openSUSE project (openSUSE-SU-2016:0876) を追加
    ベンダ情報：openSUSE project (openSUSE-SU-2016:0894) を追加