Mozilla Firefox ESR < 60.3 Multiple Vulnerabilities (macOS)

high Nessus 插件 ID 118394
全新!插件严重性现在使用 CVSS v3

计算的插件严重性默认已更新为使用 CVSS v3。没有 CVSS v3 分数的插件将回退到 CVSS v2 来计算严重性。可以在设置下拉列表中切换严重性显示首选项。

简介

远程 macOS 主机上安装的网页浏览器受到多个漏洞影响。

描述

远程 macOS 主机上安装的 Mozilla Firefox ESR 版本低于 60.3。因而会受到多个漏洞的影响:- 在适用于 Android 的 Firefox 播放 HTTP Live Stream 期间,可违背安全政策跨源访问音频数据。由于此问题存在于 Android 服务底层,所以通过将 HLS 流视为跨源和不透明访问处理该问题。*注意:此问题仅影响适用于 Android 的 Firefox 。Firefox 的桌面版本不受影响。*(CVE-2018-12391) - 通过脚本打开文档操纵嵌套循环中的用户事件时,由于事件处理不当可触发可遭利用的崩溃。(CVE-2018-12392) - 在 32 位构建中发现一个潜在漏洞,即在脚本转换为内部 UTF-16 表达期间整数溢出可导致分配缓冲区较小,无法进行转换。此漏洞可导致越界写入。*注意:64 位构建不易受到此问题影响。*(CVE-2018-12393) - 通过使用 webRequest API 重写主机请求标头,WebExtension 可通过域前端绕过域限制。这将允许其访问共享主机的域,否则这些域将受到限制。(CVE-2018-12395) - 在以下导航或其他事件的禁用环境下存在 WebExtension 可运行内容脚本漏洞。这允许站点上的 WebExtension 可能在不应该运行的内容脚本上进行权限升级。(CVE-2018-12396) - WebExtension 可请求访问本地文件而不会及时出现警告声称,'Access your data for all websites'显示给用户。这允许扩展在本地页运行内容脚本,当打开本地文件时不会出现权限警告。(CVE-2018-12397) - Mozilla 开发人员、社区成员 Daniel Veditz 和 Philipp 报告 Firefox ESR 60.2 中存在内存安全错误。有迹象表明其中某些错误可导致内存损坏,我们推测若攻击者有意操控,就能利用其中部分错误来运行任意代码。(CVE-2018-12389) - Mozilla 开发人员、社区成员 Christian Holler、Bob Owen、Boris Zbarsky、Calixte Denizet、Jason Kratzer、Jed Davis、Taegeon Lee、Philipp、Ronald Crane、Raul Gurzau、Gary Kwong、Tyson Smith、Raymond Forbes 和 Bogdan Tara 报告 Firefox 62 和 Firefox ESR 60.2 中存在内存安全错误。有迹象表明其中某些错误可导致内存损坏,我们推测若攻击者有意操控,就能利用其中部分错误来运行任意代码。(CVE-2018-12390) 请注意,Nessus 并不试图利用这些问题,而只依赖于应用程序自我报告的版本号。

解决方案

升级到 Mozilla Firefox ESR 60.3 或更高版本。

另见

http://www.nessus.org/u?614520ad

http://www.nessus.org/u?99f950cc

http://www.nessus.org/u?4146eabd

http://www.nessus.org/u?ec6f6183

http://www.nessus.org/u?a30fef4e

http://www.nessus.org/u?75a288c2

http://www.nessus.org/u?a5c1931e

http://www.nessus.org/u?56a8a5aa

http://www.nessus.org/u?10a58f5f

http://www.nessus.org/u?56bedc2c

http://www.nessus.org/u?2fa35353

http://www.nessus.org/u?9ce74e28

http://www.nessus.org/u?6af37c5b

http://www.nessus.org/u?55d351a5

http://www.nessus.org/u?82482803

http://www.nessus.org/u?a6a9565b

http://www.nessus.org/u?5daf782e

http://www.nessus.org/u?166aa054

http://www.nessus.org/u?a933cb35

http://www.nessus.org/u?39935a02

http://www.nessus.org/u?c5b58d2f

http://www.nessus.org/u?f6925998

http://www.nessus.org/u?a31d3226

http://www.nessus.org/u?f93877a1

http://www.nessus.org/u?b3a7cc16

http://www.nessus.org/u?ef389f56

http://www.nessus.org/u?82d76ead

http://www.nessus.org/u?7aced437

插件详情

严重性: High

ID: 118394

文件名: macosx_firefox_60_3_esr.nasl

版本: 1.6

类型: local

代理: macosx

发布时间: 2018/10/25

最近更新时间: 2019/11/1

依存关系: macosx_firefox_installed.nasl

风险信息

CVSS 分数来源: CVE-2018-12390

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: High

基本分数: 9.3

时间分数: 6.9

矢量: AV:N/AC:M/Au:N/C:C/I:C/A:C

时间矢量: E:U/RL:OF/RC:C

CVSS v3

风险因素: High

基本分数: 8.8

时间分数: 7.7

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

时间矢量: E:U/RL:O/RC:C

漏洞信息

CPE: cpe:/a:mozilla:firefox_esr

必需的 KB 项: MacOSX/Firefox/Version

易利用性: No known exploits are available

补丁发布日期: 2018/10/23

漏洞发布日期: 2018/10/23

参考资料信息

CVE: CVE-2018-12389, CVE-2018-12390, CVE-2018-12391, CVE-2018-12392, CVE-2018-12393, CVE-2018-12395, CVE-2018-12396, CVE-2018-12397