Mozilla Firefox ESR < 60.3 Multiple Vulnerabilities (macOS)

high Nessus 插件 ID 118394

语言：

简介

远程 macOS 主机上安装的网页浏览器受到多个漏洞影响。

描述

远程 macOS 主机上安装的 Mozilla Firefox ESR 版本低于 60.3。因而会受到多个漏洞的影响：- 在适用于 Android 的 Firefox 播放 HTTP Live Stream 期间，可违背安全政策跨源访问音频数据。由于此问题存在于 Android 服务底层，所以通过将 HLS 流视为跨源和不透明访问处理该问题。*注意：此问题仅影响适用于 Android 的 Firefox 。Firefox 的桌面版本不受影响。*(CVE-2018-12391) - 通过脚本打开文档操纵嵌套循环中的用户事件时，由于事件处理不当可触发可遭利用的崩溃。(CVE-2018-12392) - 在 32 位构建中发现一个潜在漏洞，即在脚本转换为内部 UTF-16 表达期间整数溢出可导致分配缓冲区较小，无法进行转换。此漏洞可导致越界写入。*注意：64 位构建不易受到此问题影响。*(CVE-2018-12393) - 通过使用 webRequest API 重写主机请求标头，WebExtension 可通过域前端绕过域限制。这将允许其访问共享主机的域，否则这些域将受到限制。(CVE-2018-12395) - 在以下导航或其他事件的禁用环境下存在 WebExtension 可运行内容脚本漏洞。这允许站点上的 WebExtension 可能在不应该运行的内容脚本上进行权限升级。(CVE-2018-12396) - WebExtension 可请求访问本地文件而不会及时出现警告声称，'Access your data for all websites'显示给用户。这允许扩展在本地页运行内容脚本，当打开本地文件时不会出现权限警告。(CVE-2018-12397) - Mozilla 开发人员、社区成员 Daniel Veditz 和 Philipp 报告 Firefox ESR 60.2 中存在内存安全错误。有迹象表明其中某些错误可导致内存损坏，我们推测若攻击者有意操控，就能利用其中部分错误来运行任意代码。(CVE-2018-12389) - Mozilla 开发人员、社区成员 Christian Holler、Bob Owen、Boris Zbarsky、Calixte Denizet、Jason Kratzer、Jed Davis、Taegeon Lee、Philipp、Ronald Crane、Raul Gurzau、Gary Kwong、Tyson Smith、Raymond Forbes 和 Bogdan Tara 报告 Firefox 62 和 Firefox ESR 60.2 中存在内存安全错误。有迹象表明其中某些错误可导致内存损坏，我们推测若攻击者有意操控，就能利用其中部分错误来运行任意代码。(CVE-2018-12390) 请注意，Nessus 并不试图利用这些问题，而只依赖于应用程序自我报告的版本号。