远程 Oracle Linux 7 主机上安装的程序包受到 ELSA-2021-0290 公告中提及的多个漏洞的影响。

  - 如果将 HTTPS 页面嵌入 HTTP 页面，并且前者拥有已注册的服务工作线程，则尽管（不安全）帧导致 iframe 不是安全环境，该服务工作线程仍可拦截对安全页面的请求。此漏洞会影响 Firefox < 84。(CVE-2020-26976)

  - Mozilla 开发人员 Alexis Beingessner、Christian Holler、Andrew McCreight、Tyson Smith、Jon Coppeard、Andr Bargull、Jason Kratzer、Jesse Schwartzentruber、Steve Fink、Byron Campen 报告 Thunderbird 78.6 中存在内存安全错误。其中某些错误展示出内存损坏迹象，我们推测若攻击者付出足够努力，就能利用部分错误运行任意代码。(CVE-2021-23964)

  - 如果用户单击特别构建的 PDF，当跨源信息作为分块数据使用时，PDF 阅读器可能会因为混淆而泄露这些信息。(CVE-2021-23953)

  - Mozilla：在 JavaScript 切换语句中使用逻辑分配运算符时，可造成类型混淆 (CVE-2021-23954)

  - Mozilla：GC 期间错误地重新声明 JavaScript 变量，可造成中毒后使用 (CVE-2021-23960)

请注意，Nessus 尚未测试此问题，而是只依赖于应用程序自我报告的版本号。

检测

Oracle Linux 7：firefox (ELSA-2021-0290)

high Nessus 插件 ID 145508

版本 1.7