Mozilla Firefox ESR < 60.2.1 多个漏洞

high Nessus 插件 ID 117670
全新!插件严重性现在使用 CVSS v3

计算的插件严重性默认已更新为使用 CVSS v3。没有 CVSS v3 分数的插件将回退到 CVSS v2 来计算严重性。可以在设置下拉列表中切换严重性显示首选项。

简介

远程 Windows 主机上安装的网页浏览器受到多个漏洞影响。

描述

远程 Windows 主机上安装的 Mozilla Firefox ESR 版本低于 60.2.1。因而会受到多个漏洞的影响:- 在用于 SSL 的 TransportSecurityInfo 中发现可能遭到利用的崩溃,这是由存储在用户配置文件目录内本地缓存中的数据所触发。只有配合攻击者可借以将数据写入本地缓存,或从本地安装恶意软件写入数据的其他漏洞,此问题才能遭到利用。若使用相同的配置文件,此问题也会针对在 Firefox 的 Nightly 和 Release 版本之间切换的用户触发无法利用的开机崩溃。(CVE-2018-12385) - 如果用户在 Firefox 58 之前保存了密码,之后再设置主密码,则仍可访问这些密码的未加密副本。这是因为将数据复制为 Firefox 58 中启动的新格式时,之前已存储的密码文件并未删除。系统只会将新的主密码添加到新文件。这可能会导致用户意料之外的已存储密码数据泄露情况。(CVE-2018-12383) 请注意,Nessus 并不试图利用这些问题,而只依赖于应用程序自我报告的版本号。

解决方案

升级到 Mozilla Firefox ESR 60.2.1 或更高版本。

另见

http://www.nessus.org/u?bc528cf5

http://www.nessus.org/u?c7fa8df5

http://www.nessus.org/u?082e6c8c

插件详情

严重性: High

ID: 117670

文件名: mozilla_firefox_60_2_1_esr.nasl

版本: 1.3

类型: local

代理: windows

系列: Windows

发布时间: 2018/9/24

最近更新时间: 2019/11/1

依存关系: mozilla_org_installed.nasl

风险信息

CVSS 分数来源: CVE-2018-12385

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: Medium

基本分数: 4.4

时间分数: 3.3

矢量: AV:L/AC:M/Au:N/C:P/I:P/A:P

时间矢量: E:U/RL:OF/RC:C

CVSS v3

风险因素: High

基本分数: 7

时间分数: 6.1

矢量: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

时间矢量: E:U/RL:O/RC:C

漏洞信息

CPE: cpe:/a:mozilla:firefox_esr

必需的 KB 项: Mozilla/Firefox/Version

易利用性: No known exploits are available

补丁发布日期: 2018/9/21

漏洞发布日期: 2018/9/21

参考资料信息

CVE: CVE-2018-12383, CVE-2018-12385