Mozilla Firefox < 68.0

high Nessus 插件 ID 126622
全新!插件严重性现在使用 CVSS v3

计算的插件严重性默认已更新为使用 CVSS v3。没有 CVSS v3 分数的插件将回退到 CVSS v2 来计算严重性。可以在设置下拉列表中切换严重性显示首选项。

简介

远程 Windows 主机上安装的网页浏览器受到多个漏洞影响。

描述

远程 Windows 主机上安装的 Firefox 版本低于 68.0。因此,如公告 mfsa2019-21 所述,受到多个漏洞的影响。- Niklas Baumstark 通过安装恶意语言包后开启使用受影响转换的浏览器功能,以演示沙盒逃逸,这是其获奖 Pwn2Own 项目的一部分。(CVE-2019-9811) - 重复使用内部视窗时,其未考量使用 document.domain 来进行跨源保护。若不同子域上的页面协同使用 document.domain,则任一页面都可滥用这一点将脚本注入另一个子域上的任意页面,即使不使用 document.domain 以放宽其来源安全性的页面亦然。(CVE-2019-11711) - 收到状态 308 重定向响应、由 NPAPI 插件发出的 POST 请求(如 Flash)可绕过 CORS 请求。这会允许攻击者执行跨站请求伪造 (CSRF) 攻击。(CVE-2019-11712) - 当 HTTP/2 缓存流关闭但仍处于使用状态时,HTTP/2 中会发生释放后使用漏洞,进而导致潜在的可利用崩溃。(CVE-2019-11713) - Necko 在 UDP 连接期间会访问错误线程上的子程序,造成有时候可能会发生可遭恶意利用的崩溃。(CVE-2019-11714) - 空或畸形的 p256-ECDH 公钥可触发分段错误,这是因为正确清理值便将其复制进内存并使用。(CVE-2019-11729) - 由于解析页面内容时发生一个错误,正确清理的用户输入可能会被错译,并在某种情况下,导致网站上出现 XSS 危险。(CVE-2019-11715) - 在脚本明确访问之前,window.globalThis 无法列举且会造成对 Object.getOwnPropertyNames(window) 之类的代码不可见。部署沙盒的网站若是依靠枚举和释放 window 对象访问,可能会遗漏这点并造成绕过其沙盒。(CVE-2019-11716) - 存在一个漏洞,构建某些 URI 时,caret (^) 字符未正确避开,这是因为该字符用于分隔符,进而可能伪造源属性。(CVE-2019-11717) - Activity Stream 会显示从 Snippet Service 网站来自 sent 的内容。此内容没有经过清理即会写入 Activity Stream 页面上的 innerHTML,Snipper Service 遭到入侵时可能得以访问 Activity Stream 可用的其他信息,例如浏览历史记录。(CVE-2019-11718) - 在 PKCS#8format 中导入前导 0x00 字节的 curve25519 私钥时,可能会在 Network Security Services (NSS) 库中触发越界读取。这可导致信息泄露。(CVE-2019-11719) - 在解析网络内容期间,有些 unicode 字符会被误视为空格,而不会触发解析错误。这会造成处理恶意代码,避开跨站脚本 (XSS) 筛选。(CVE-2019-11720) - unicode 'kra' 拉丁字符可用来伪造地址栏中的标准 'k' 字符。因为不会显示为 punycode 文本,导致可发动网域伪造攻击,让用户混淆不清。(CVE-2019-11721) - 存在一个漏洞,若有用户打开本地保存的 HTML 文件,此文件就可使用文件:若名称已知或被猜中,URI 可访问相同目录或子目录中的其他文件。而后,就可使用 Fetch API 来读取储存在这些目录中的任何文件内容,并将之上传至服务器。Luigi Gubello 结合使用受欢迎的 Android 消息应用程序加以证明,若将恶意的 HTML 附件发送给某个用户,然后用户在 Firefox 中打开附件,由于应用程序本地保存文件名称的可预测模式,可以读取受害者从其他代理帐户接收的附件。(CVE-2019-11730) - 安装附件时存在一个漏洞,这会让初始提取 (fetch) 忽略浏览环境的原始属性。这可能会让使用 Firefox 多帐户容器 Web 扩展的用户,在私人浏览模式中或跨不同容器时泄露 cookie。(CVE-2019-11723) - 应用程序权限授予 input.mozilla.org 网站额外的远程故障排除权限,该权限已被淘汰且现在会重定向至其他网站。此为非必要的额外权限,可能会成为恶意攻击向量。(CVE-2019-11724) - 当用户浏览 Safebrowsing API 标记为不安全的网站时,虽然会显示警告消息并中断浏览,但是并不会阻挡通过 websocket 加载相同网站的资源,导致加载不安全资源并绕过安全浏览防护。(CVE-2019-11725) - 存在一个漏洞,其可能强制网络安全服务 (NSS) 使用服务器在 TLS 1.3 的 CertificateRequest 中唯一宣传的 PKCS#1 v1.5 签名来签署 CertificateVerify。PKCS#1 v1.5 签名不得用于 TLS 1.3 消息。(CVE-2019-11727) - 恶意网站可以使用 HTTP Alternative Services 标头 Alt- Svc,扫描用户加载网络内容时可访问之任何主机的所有 TCP 端口。(CVE-2019-11728) - Mozilla 开发人员和社区成员 Andr Bargull、Christian Holler、Natalia Csoregi、Raul Gurzau、Daniel Varga、Jon Coppeard、Marcia Knous、Gary Kwong、Randell Jesup、David Bolter、Jeff Gilbert 和 Deian Stefan 报告 Firefox 67 中存在内存安全缺陷。有迹象表明其中某些错误可导致内存损坏,我们推测若攻击者有意操控,就能利用其中部分错误来运行任意代码。(CVE-2019-11710) - Mozilla 开发人员和社区成员 Andreea Pavel、Christian Holler、Honza Bambas、Jason Kratzer 和 Jeff Gilbert 报告 Firefox 67 和 Firefox ESR 60.7 中存在内存安全缺陷。有迹象表明其中某些错误可导致内存损坏,我们推测若攻击者有意操控,就能利用其中部分错误来运行任意代码。(CVE-2019-11709) 请注意,Nessus 并未针对此问题进行测试,而仅依赖应用程序自我报告的版本号。

解决方案

升级到 Mozilla Firefox 68.0 或更高版本。

另见

https://www.mozilla.org/en-US/security/advisories/mfsa2019-21/

插件详情

严重性: High

ID: 126622

文件名: mozilla_firefox_68_0.nasl

版本: 1.3

类型: local

代理: windows

系列: Windows

发布时间: 2019/7/11

最近更新时间: 2019/10/18

依存关系: mozilla_org_installed.nasl

风险信息

CVSS 分数来源: CVE-2019-11716

VPR

风险因素: Medium

分数: 6.5

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 5.5

矢量: AV:N/AC:L/Au:N/C:P/I:P/A:P

时间矢量: E:U/RL:OF/RC:C

CVSS v3

风险因素: High

基本分数: 8.3

时间分数: 7.2

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L

时间矢量: E:U/RL:O/RC:C

漏洞信息

CPE: cpe:/a:mozilla:firefox

必需的 KB 项: Mozilla/Firefox/Version

易利用性: No known exploits are available

补丁发布日期: 2019/7/9

漏洞发布日期: 2019/7/9

参考资料信息

CVE: CVE-2019-9811, CVE-2019-11709, CVE-2019-11710, CVE-2019-11711, CVE-2019-11712, CVE-2019-11713, CVE-2019-11714, CVE-2019-11715, CVE-2019-11716, CVE-2019-11717, CVE-2019-11718, CVE-2019-11719, CVE-2019-11720, CVE-2019-11721, CVE-2019-11723, CVE-2019-11724, CVE-2019-11725, CVE-2019-11727, CVE-2019-11728, CVE-2019-11729, CVE-2019-11730

BID: 109081, 109083, 109084, 109085, 109086, 109087

MFSA: 2019-21