Mozilla Firefox ESR < 60.3 多个漏洞

high Nessus 插件 ID 118395

简介

远程 Windows 主机上安装的网页浏览器受到多个漏洞影响。

描述

远程 Windows 主机上安装的 Mozilla Firefox ESR 版本低于 60.3。因而会受到多个漏洞的影响:- 在 Android 的 Firefox 上进行 HTTP 直播流重放期间,可在违反安全策略的情况下跨源访问音频数据。由于该问题处于 Android 服务底层,所以通过处理所有 HLS 流为跨源并隐藏访问以解决该问题。*请注意:该问题仅影响 Android Firefox。Firefox 的桌面版本不受影响。*(CVE-2018-12391) - 通过脚本打开文档操纵嵌套循环中的用户事件时,由于事件处理不当可触发可遭利用的崩溃。(CVE-2018-12392) - 在 32 位构建中发现一个潜在漏洞,即在脚本转换为内部 UTF-16 表达期间整数溢出可导致分配缓冲区较小,无法进行转换。此漏洞可导致越界写入。*注意:64 位构建不易受到此问题影响。*(CVE-2018-12393) - 通过使用 webRequest API 重写主机请求标头,WebExtension 可通过域前端绕过域限制。这将允许其访问共享主机的域,否则这些域将受到限制。(CVE-2018-12395) - 在以下导航或其他事件的禁用环境下存在 WebExtension 可运行内容脚本漏洞。这允许站点上的 WebExtension 可能在不应该运行的内容脚本上进行权限升级。(CVE-2018-12396) - WebExtension 可请求访问本地文件而不会及时出现警告声称,'Access your data for all websites'显示给用户。这允许扩展在本地页运行内容脚本,当打开本地文件时不会出现权限警告。(CVE-2018-12397) - Mozilla 开发人员、社区成员 Daniel Veditz 和 Philipp 报告 Firefox ESR 60.2 中存在内存安全错误。有迹象表明其中某些错误可导致内存损坏,我们推测若攻击者有意操控,就能利用其中部分错误来运行任意代码。(CVE-2018-12389) - Mozilla 开发人员、社区成员 Christian Holler、Bob Owen、Boris Zbarsky、Calixte Denizet、Jason Kratzer、Jed Davis、Taegeon Lee、Philipp、Ronald Crane、Raul Gurzau、Gary Kwong、Tyson Smith、Raymond Forbes 和 Bogdan Tara 报告 Firefox 62 和 Firefox ESR 60.2 中存在内存安全错误。有迹象表明其中某些错误可导致内存损坏,我们推测若攻击者有意操控,就能利用其中部分错误来运行任意代码。(CVE-2018-12390) 请注意,Nessus 并不试图利用这些问题,而只依赖于应用程序自我报告的版本号。

解决方案

升级到 Mozilla Firefox ESR 60.3 或更高版本。

另见

http://www.nessus.org/u?614520ad

http://www.nessus.org/u?99f950cc

http://www.nessus.org/u?4146eabd

http://www.nessus.org/u?ec6f6183

http://www.nessus.org/u?a30fef4e

http://www.nessus.org/u?75a288c2

http://www.nessus.org/u?a5c1931e

http://www.nessus.org/u?56a8a5aa

http://www.nessus.org/u?10a58f5f

http://www.nessus.org/u?56bedc2c

http://www.nessus.org/u?2fa35353

http://www.nessus.org/u?9ce74e28

http://www.nessus.org/u?6af37c5b

http://www.nessus.org/u?55d351a5

http://www.nessus.org/u?82482803

http://www.nessus.org/u?a6a9565b

http://www.nessus.org/u?5daf782e

http://www.nessus.org/u?166aa054

http://www.nessus.org/u?a933cb35

http://www.nessus.org/u?39935a02

http://www.nessus.org/u?c5b58d2f

http://www.nessus.org/u?f6925998

http://www.nessus.org/u?a31d3226

http://www.nessus.org/u?f93877a1

http://www.nessus.org/u?b3a7cc16

http://www.nessus.org/u?ef389f56

http://www.nessus.org/u?82d76ead

http://www.nessus.org/u?7aced437

插件详情

严重性: High

ID: 118395

文件名: mozilla_firefox_60_3_esr.nasl

版本: 1.6

类型: local

代理: windows

系列: Windows

发布时间: 2018/10/25

最近更新时间: 2019/11/1

支持的传感器: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: High

基本分数: 9.3

时间分数: 6.9

矢量: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2018-12390

CVSS v3

风险因素: High

基本分数: 8.8

时间分数: 7.7

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: cpe:/a:mozilla:firefox_esr

必需的 KB 项: Mozilla/Firefox/Version

易利用性: No known exploits are available

补丁发布日期: 2018/10/23

漏洞发布日期: 2018/10/23

参考资料信息

CVE: CVE-2018-12389, CVE-2018-12390, CVE-2018-12391, CVE-2018-12392, CVE-2018-12393, CVE-2018-12395, CVE-2018-12396, CVE-2018-12397