GLSA-202208-08：Mozilla Firefox：多个漏洞

critical Nessus 插件 ID 164149

语言：

描述

远程主机受到 GLSA-202208-08 中所述漏洞的影响（Mozilla Firefox：多个漏洞）

- Google Chrome 101.0.4951.41 之前版本的 Codecs 中存在释放后使用漏洞，远程攻击者可能利用此漏洞，通过构建的 HTML 页面造成堆损坏。(CVE-2022-1919)

- regex 用于实现 Rust 语言的正则表达式。regex crate 具有内置的缓解措施，可防止由不可信正则表达式或受信任的正则表达式匹配的不可信输入造成的拒绝服务攻击。这些（可调整的）缓解措施已提供合理的默认设置来防御攻击。此保证已记录在案，并且被视为 crate 的 API 的一部分。不幸的是，在专用于防止不受信任的正则表达式在解析过程中占用任意时间长度的缓解措施中发现一个缺陷，并且此类缓解措施可以通过构建正则表达式来绕过。因此，攻击者可以通过向接受用户控制的不可信 regex 的服务发送特别构建的 regex 来执行拒绝服务攻击。所有低于或同于 1.5.4 版本的 regex crate 都会受到此问题影响。自 regex 1.5.5 开始，加入补丁。建议接受用户控制的 regex 的所有用户立即升级到最新版 regex crate。不幸的是，目前没有一组固定的问题 regex，攻击者几乎可通过构建无限 regex 来利用此漏洞。
因此，我们不建议拒绝已知的问题 regex。(CVE-2022-24713)

- Mozilla 开发人员 Kershaw Chang、Ryan VanderMeulen 和 Randell Jesup 报告 Firefox 97 中存在内存安全错误。其中某些错误展示出内存损坏迹象，我们推测若攻击者付出足够努力，就能利用部分错误运行任意代码。(CVE-2022-0843)

- VR 进程被破坏后，对该进程的引用可能会被保留及使用，从而导致释放后使用问题和可能遭到利用的崩溃问题。(CVE-2022-1196)

- Mozilla：JavaScript 对象索引中使用的不可信输入会导致原型污染 (CVE-2022-1529)

- 如果攻击者能够通过原型污染损坏 JavaScript 中 Array 对象的方法，便有可能在特权上下文中执行受攻击者控制的 JavaScript 代码。
(CVE-2022-1802)

- 如果攻击者损坏了对象原型，他们将能够在 JavaScript 对象上设置不需要的属性，从而导致系统执行特权代码。(CVE-2022-2200)

- Mozilla 开发人员和 Mozilla Fuzzing 团队报告 Thunderbird 102 中存在内存安全错误。
其中某些错误展示出内存损坏迹象，我们推测若攻击者付出足够努力，就能利用部分错误运行任意代码。(CVE-2022-2505)

- 攻击者可通过在 SVG 对象中强制执行文本重排来造成释放后使用错误，从而导致引发可遭恶意利用的崩溃问题。(CVE-2022-26381)

- 尽管 JavaScript 无法直接读取自动填充工具提示中显示的文本，但已使用页面字体呈现该文本。使用特制字体对文本发动边信道攻击可导致网页成功推断出此文本的内容。(CVE-2022-26382)

- Mozilla：使用全屏模式伪造浏览器窗口（CVE-2022-26383、CVE-2022-31738）

- 如果攻击者可以控制使用 <code>allow-popups</code> 而非 <code>allow-scripts</code> 进行沙盒化的 iframe 内容，就可以构建链接（点击该链接将导致以违反沙盒的方式执行 JavaScript）。(CVE-2022-26384)

- 在异常情况下，单个线程在关闭期间的生存时间可能比线程的管理器更长。这会造成释放后使用，从而导致主机可能因恶意利用漏洞发生崩溃。(CVE-2022-26385)

- macOS 和 Linux 上的 Thunderbird 之前会将临时文件下载到 <code>/tmp</code> 的用户特定目录中，但此行为已更改为将文件下载到 <code>/tmp</code> 中（其中的文件可能受到其他本地用户影响）。此行为已恢复为原始的、特定于用户的目录。此错误仅影响 Windows 版和 MacOS 版 Thunderbird。其他操作系统不受影响。
(CVE-2022-26386)

- 安装附加组件时，Thunderbird 会在提示用户前验证签名；但是，当用户确认提示时，底层附加组件文件可能已被修改，而 Thunderbird 并不会注意到这一点。(CVE-2022-26387)

- 在处理期间删除 XSLT 参数有可能导致产生可遭到恶意利用的释放后使用漏洞。我们已收到在环境中滥用此缺陷的攻击报告。(CVE-2022-26485)

- WebGPU IPC 框架中的意外消息可导致释放后使用漏洞和可遭到恶意利用的沙盒逃逸漏洞。我们已收到在环境中滥用此缺陷的攻击报告。(CVE-2022-26486)

- 如果遭入侵的内容进程利用 Register 命令中向父进程发送了非预期数量的 WebAuthN 扩展，则将发生越界写入，从而导致内存损坏和可能遭到利用的崩溃问题。(CVE-2022-28281)

- 使用带 <code>rel=localization</code> 的链接时，使用者可能会在执行 JavaScript 期间破坏对象，然后通过释放的指针引用该对象，从而触发释放后使用漏洞，最终导致可能遭到利用的崩溃问题。(CVE-2022-28282)

- devtools 中的 sourceMapURL 功能缺少安全检查，这将允许网页尝试包含本地文件或本应无法访问的其他文件。(CVE-2022-28283)

- SVG 的 <code><use></code> 元素可能已用于加载在某些情况下已执行脚本的非预期内容。虽然这似乎并没有违反相关规范，但其他浏览器不允许这样做，而且 Web 开发人员要依赖此属性保障脚本安全性，以确保 gecko 的实现与他们的实现保持一致。(CVE-2022-28284)

- 为 <code>MLoadTypedArrayElementHole</code> 生成汇编代码时，使用了错误的 AliasSet。与另一个漏洞结合利用时，可造成越界内存读取问题。(CVE-2022-28285)

- 由于布局变更，iframe 内容可能在其边框之外呈现。这有可能导致用户混淆或欺骗攻击。(CVE-2022-28286)

- 在异常情况下，选择文本可能造成文本选择缓存错误运行，从而造成崩溃。(CVE-2022-28287)

- Mozilla 开发人员和社区成员 Randell Jesup、Sebastian Hengst 以及 Mozilla Fuzzing 团队报告 Firefox 98 中存在内存安全缺陷。其中某些错误展示出内存损坏迹象，我们推测如果攻击者进行足够的尝试，则可以利用此漏洞运行任意代码。
(CVE-2022-28288)

- Mozilla 开发人员和社区成员 Nika Layzell、Andrew McCreight、Gabriele Svelto 以及 Mozilla Fuzzing 团队报告 Thunderbird 91.7 中存在内存安全错误。其中某些错误展示出内存损坏迹象，我们推测若攻击者付出足够努力，就能利用部分错误运行任意代码。(CVE-2022-28289)

- 深度嵌套的跨源浏览上下文中的文档可能会获取授予顶级源的权限，从而绕过现有提示并错误地继承顶级权限。
(CVE-2022-29909)

- 当关闭或发送到后台时，Firefox for Android 将无法正确记录和保留 HSTS 设置。注意：此漏洞仅影响 Android 版 Firefox。其他操作系统不受影响。
(CVE-2022-29910)

- 新的 iframe 沙盒关键字 <code>allow-top-navigation-by-user-activation</code> 由于实现不当，可导致脚本在没有 <code>allow-scripts</code> 的情况下执行。
(CVE-2022-29911)

- 通过阅读器模式发起的请求未正确忽略具有 SameSite 属性的 Cookie。
(CVE-2022-29912)

- 当重复使用现有的弹出窗口时，Thunderbird 将允许其覆盖全屏通知 UI，从而有可能启动浏览器欺骗攻击。(CVE-2022-29914)

- Performance API 未正确隐藏请求跨源资源是否已观察到重定向这一事实。(CVE-2022-29915)

- 当通过解析 CSS 变量加载 CSS 资源时，Thunderbird 对已知资源的处理行为略有不同。此漏洞可用于探测浏览器历史记录。(CVE-2022-29916)

- Mozilla 开发人员 Gabriele Svelto、Tom Ritter 以及 Mozilla Fuzzing 团队报告 Thunderbird 91.8 中存在内存安全错误。其中某些错误展示出内存损坏迹象，我们推测若攻击者付出足够努力，就能利用部分错误运行任意代码。(CVE-2022-29917)

- Mozilla 开发人员 Gabriele Svelto、Randell Jesup 以及 Mozilla Fuzzing 团队报告 Firefox 99 中存在内存安全错误。其中某些错误展示出内存损坏迹象，我们推测若攻击者付出足够努力，就能利用部分错误运行任意代码。(CVE-2022-29918)

- Mozilla：泄露跨域资源的长度 (CVE-2022-31736)

- 恶意网页可能在 WebGL 中触发释放后使用，从而导致内存损坏和潜在可利用的崩溃。(CVE-2022-31737)

- 在 arm64 上，WASM 代码可能生成不正确的程序集，从而导致寄存器分配问题和可能遭到利用的崩溃。(CVE-2022-31740)

- Mozilla：未初始化的变量导致无效的内存读取 (CVE-2022-31741)

- Mozilla：查询包含大量 allowCredential 条目的 WebAuthn 令牌可能会泄露跨源信息 (CVE-2022-31742)

- Firefox 的 HTML 解析器未正确解释 HTML 注释标签，从而导致与其他浏览器之间存在不一致问题。此漏洞可用于在其中放置用户控制数据的页面上转义 HTML 注释。(CVE-2022-31743)

- 攻击者可能已将 CSS 注入可通过内部 URI 访问的样式表例如（如 resource:），从而绕过页面的内容安全策略。(CVE-2022-31744)

- 如果不使用数组移位操作，垃圾收集器可能会混淆有效对象。(CVE-2022-31745)

- Mozilla 开发人员 Andrew McCreight、Nicolas B. Pierron 以及 Mozilla Fuzzing 团队报告 Firefox 100 与 Firefox ESR 91.9 中存在内存安全错误。其中某些错误展示出内存损坏迹象，我们推测若攻击者付出足够努力，就能利用部分错误运行任意代码。(CVE-2022-31747)

- Mozilla 开发人员 Gabriele Svelto、Timothy Nikkel、Randell Jesup、Jon Coppeard 以及 Mozilla Fuzzing 团队报告 Firefox 100 中存在内存安全错误。其中某些错误展示出内存损坏迹象，我们推测若攻击者付出足够努力，就能利用部分错误运行任意代码。(CVE-2022-31748)

- 如果用户点击 <code>javascript：</code> 链接，不准许运行脚本的 iframe 将能够完成此操作。(CVE-2022-34468)

- 当 HSTS 标头保护的域上发生 TLS 证书错误时，浏览器不应允许用户绕过证书错误。在 Android 版 Firefox 上，用户可以看到绕过错误的选项；这只能由用户采用明确的方式加以完成。此错误仅影响 Android 版 Firefox 。其他操作系统不受影响。(CVE-2022-34469)

- XML 文档之间的导航可能导致释放后使用和易被利用的崩溃。
(CVE-2022-34470)

- 下载插件的更新时，未验证下载的插件更新版本是否与在清单中所选的版本相符。如果清单在服务器上被篡改，攻击者可诱骗浏览器将插件降级到之前的版本。 (CVE-2022-34471)

- 如果设置了 PAC URL 并且无法访问托管该 PAC 的服务器，则 OCSP 请求将被阻止，从而导致显示不正确的错误页面。(CVE-2022-34472)

- HTML 审查器应审查 SVG <code><use></code> 标签的 <code>href</code> 属性；但是它没有正确地审查 <code>xlink：href</code> 属性。(CVE-2022-34473)

- 即使 iframe 使用 <code>allow-top-navigation-by-user-activation</code>进行沙盒处理，如果它收到外部协议的重定向标头，浏览器也会处理该重定向并在适当时提示用户。 (CVE-2022-34474)

- 如果通过 HTML Sanitizer API 审查攻击者输入，则引用同源文档的 SVG <code><use></code> 标签可导致系统执行脚本。这将要求攻击者引用包含要执行脚本的同源 JavaScript 文件。
(CVE-2022-34475)

- 对无限群组内的无限队列进行 ASN.1 解析可导致解析器接受畸形的 ASN.1。(CVE-2022-34476)

- MediaError 消息属性应保持一致，以避免泄漏有关跨源资源的信息；但是，对于同站跨源资源，消息可能泄露导致跨站泄露攻击的信息。 (CVE-2022-34477)

- 当用户接受提示时，<code>ms-msdt</code>、<code>search</code> 和 <code>search-ms</code> 协议会绕过浏览器向 Microsoft 应用程序传递内容。这些应用程序存在被广泛利用的漏洞（尽管我们知道 Thunderbird 不会利用任意漏洞），因此在此版本中 Thunderbird 已阻止这些协议提示用户打开它们。此错误仅影响 Windows 版 Thunderbird。其他操作系统不受影响。(CVE-2022-34478)

- 可创建弹出窗口的恶意网站可能会调整弹出窗口的大小，使其自己的内容覆盖地址栏，从而可能使用户混淆不清或造成欺骗攻击。此错误仅影响 Linux 版Thunderbird。其他操作系统不受影响。(CVE-2022-34479)

- 在 <code>lginit()</code> 函数中，如果多个分配均已成功，但其中一个失败，则尽管未初始化的指针未受分配，但该指针仍会被释放。(CVE-2022-34480)

- 在 <code>nsTArrayImpl : : ReplaceElementsAt()</code> 函数中，当要替换的元素数量对于容器来说太大时，可能会发生整数溢出。(CVE-2022-34481)

- 可诱使用户将图像拖放到文件系统的攻击者可操纵生成的文件名，使其包含可执行的扩展名，并可能通过扩展诱骗用户执行恶意代码。尽管这一问题与 CVE-2022-34483 非常相似，但这二者是不同的问题。(CVE-2022-34482)

- 可诱使用户将图像拖放到文件系统的攻击者可操纵生成的文件名，使其包含可执行的扩展名，并可能通过扩展诱骗用户执行恶意代码。尽管这一问题与 CVE-2022-34482 非常相似，但这二者是不同的问题。(CVE-2022-34483)

- Mozilla Fuzzing Team 报告 Thunderbird 91.10 中存在潜在漏洞。其中某些错误展示出内存损坏迹象，我们推测若攻击者付出足够努力，就能利用部分错误运行任意代码。(CVE-2022-34484)

- Mozilla 开发者 Bryce Seager van Dyk 和 Mozilla Fuzzing Team 报告 Firefox 101 中存在潜在漏洞。其中某些错误展示出内存损坏迹象，我们推测若攻击者付出足够努力，就能利用部分错误运行任意代码。(CVE-2022-34485)

- 使用子资源完整性加载脚本时，能够执行注入操作的攻击者可触发程序重复使用之前缓存的包含不同完整性的错误元数据的条目。(CVE-2022-36315)

- 使用 Performance API 时，攻击者能够注意到 PerformanceEntries 之间的细微差别，从而了解目标 URL 是否已重定向。(CVE-2022-36316)

- 当访问以 `chrome: //` URL 作为源文本的目录列表时，会反映部分参数。
(CVE-2022-36318)

- 合并溢出和转换的 CSS 属性时，与鼠标光标交互的坐标可能与显示的坐标不同。(CVE-2022-36319)

- Mozilla 开发人员和 Mozilla Fuzzing 团队报告 Firefox 102 中存在内存安全错误。其中某些错误展示出内存损坏迹象，我们推测若攻击者付出足够努力，就能利用部分错误运行任意代码。(CVE-2022-36320)

请注意，Nessus 尚未测试这些问题，而是只依靠应用程序自我报告的版本号来判断。

解决方案

所有 Mozilla Firefox ESR 用户均应升级至最新版本：

# emerge --sync # emerge --ask --oneshot --verbose >=www-client/firefox-91.12.0: esr 所有 Mozilla Firefox ESR 二进制用户均应升级至最新版本：

# emerge --sync # emerge --ask --oneshot --verbose >=www-client/firefox-bin-91.12.0: esr 所有 Mozilla Firefox 用户均应升级至最新版本：

# emerge --sync # emerge --ask --oneshot --verbose >=www-client/firefox-103.0: rapid 所有 Mozilla Firefox 二进制用户均应升级至最新版本：

# emerge --sync # emerge --ask --oneshot --verbose >=www-client/firefox-bin-103.0: rapid