Mozilla Firefox ESR < 60.2.1 多个漏洞

high Nessus 插件 ID 117670

简介

远程 Windows 主机上安装的网页浏览器受到多个漏洞影响。

描述

远程 Windows 主机上安装的 Mozilla Firefox ESR 版本低于 60.2.1。因而会受到多个漏洞的影响:- 在用于 SSL 的 TransportSecurityInfo 中发现可能遭到利用的崩溃,这是由存储在用户配置文件目录内本地缓存中的数据所触发。只有配合攻击者可借以将数据写入本地缓存,或从本地安装恶意软件写入数据的其他漏洞,此问题才能遭到利用。若使用相同的配置文件,此问题也会针对在 Firefox 的 Nightly 和 Release 版本之间切换的用户触发无法利用的开机崩溃。(CVE-2018-12385) - 如果用户在 Firefox 58 之前保存了密码,之后再设置主密码,则仍可访问这些密码的未加密副本。这是因为将数据复制为 Firefox 58 中启动的新格式时,之前已存储的密码文件并未删除。系统只会将新的主密码添加到新文件。这可能会导致用户意料之外的已存储密码数据泄露情况。(CVE-2018-12383) 请注意,Nessus 并不试图利用这些问题,而只依赖于应用程序自我报告的版本号。

解决方案

升级到 Mozilla Firefox ESR 60.2.1 或更高版本。

另见

http://www.nessus.org/u?bc528cf5

http://www.nessus.org/u?c7fa8df5

http://www.nessus.org/u?082e6c8c

插件详情

严重性: High

ID: 117670

文件名: mozilla_firefox_60_2_1_esr.nasl

版本: 1.3

类型: local

代理: windows

系列: Windows

发布时间: 2018/9/24

最近更新时间: 2019/11/1

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: Medium

基本分数: 4.4

时间分数: 3.3

矢量: CVSS2#AV:L/AC:M/Au:N/C:P/I:P/A:P

CVSS 分数来源: CVE-2018-12385

CVSS v3

风险因素: High

基本分数: 7

时间分数: 6.1

矢量: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: cpe:/a:mozilla:firefox_esr

必需的 KB 项: Mozilla/Firefox/Version

易利用性: No known exploits are available

补丁发布日期: 2018/9/21

漏洞发布日期: 2018/9/21

参考资料信息

CVE: CVE-2018-12383, CVE-2018-12385