GLSA-202305-06 : Mozilla Firefox：多个漏洞

critical Nessus 插件 ID 175044

语言：

描述

远程主机受到 GLSA-202305-06 中所述漏洞的影响（Mozilla Firefox：多个漏洞）

- 一个过时的库 (libusrsctp) 包含可能被利用的漏洞。此漏洞会影响 Firefox < 108。(CVE-2022-46871)

- 危害内容进程的攻击者可通过与剪贴板相关的 IPC 消息部分转义沙盒以读取任意文件。<br>*此缺陷仅影响 Linux 系统上的 Thunderbird。其他操作系统不受影响。* 该漏洞影响 Firefox < 108、Firefox ESR < 102.6 和 Thunderbird < 102.6。(CVE-2022-46872)

- 由于 Firefox 未实现 <code>unsafe-hashes</code> CSP 指令，能够向内容安全策略保护的页面注入标记的攻击者可能已经能够注入可执行脚本。这将受到文档的指定内容安全策略的严格限制。此漏洞会影响 Firefox < 108。(CVE-2022-46873)

- 具有长文件名的文件可被截断以删除有效的扩展名，而在其位置留下恶意的扩展名。这可能导致用户混淆和执行恶意代码。(<br/>) *注意*：此问题最初包含在 Thunderbird 102.6 的公告中，但缺少一个修补程序（特定于 Thunderbird），导致它实际上在 Thunderbird 102.6.1 中得到修复。该漏洞影响 Firefox < 108、Thunderbird < 102.6.1、Thunderbird < 102.6 和 Firefox ESR < 102.6。(CVE-2022-46874)

- 下载 .atloc 和 .ftploc 文件时未显示可执行文件警告，这可造成攻击者在用户的计算机上运行命令。<br>*注意：此问题仅影响 Mac OS 操作系统。其他操作系统不受影响。* 该漏洞影响 Firefox < 108、Firefox ESR < 102.6 和 Thunderbird < 102.6。(CVE-2022-46875)

- 通过混淆浏览器，全屏通知可能被延迟或隐藏，从而导致出现潜在的用户混淆或欺骗攻击。此漏洞会影响 Firefox < 108。(CVE-2022-46877)

- Mozilla 开发人员 Randell Jesup、Valentin Gosu、Olli Pettay 及 Mozilla Fuzzing 团队报告 Thunderbird 102.5 中存在内存安全错误。其中某些错误展示出内存损坏迹象，我们推测如果攻击者进行足够的尝试，则可以利用此漏洞运行任意代码。该漏洞影响 Firefox < 108、Firefox ESR < 102.6 和 Thunderbird < 102.6。(CVE-2022-46878)

- Mozilla 开发人员和社区成员 Lukas Bernhard、Gabriele Svelto、Randell Jesup 以及 Mozilla Fuzzing 团队报告 Firefox 107 中存在内存安全错误。其中某些错误展示出内存损坏迹象，我们推测如果攻击者进行足够的尝试，则可以利用此漏洞运行任意代码。此漏洞会影响 Firefox < 108。(CVE-2022-46879)

- 缺少与 tex 单元相关的检查会造成释放后使用，并可能导致出现会被利用的崩溃。<br /> *注意*：在更好地了解了此问题的影响之后，我们于 2022 年 12 月 13 日添加了此公告。此补丁包含在 Firefox 105 的原始版本中。该漏洞影响 Firefox ESR < 102.6、Firefox < 105 和 Thunderbird < 102.6。(CVE-2022-46880)

- WebGL 中的优化在某些情况下不正确，可导致内存损坏和潜在可利用的崩溃。该漏洞影响 Firefox < 106、Firefox ESR < 102.6 和 Thunderbird < 102.6。(CVE-2022-46881)

- WebGL 扩展程序中的释放后使用可能导致潜在的可利用崩溃。该漏洞影响 Firefox < 107、Firefox ESR < 102.6 和 Thunderbird < 102.6。(CVE-2022-46882)

- 遭到破坏的 Web 子进程可禁用 Web 安全开放限制，从而导致在 <code> 文件中生成新的子进程：//</code> context。如果有可靠的漏洞利用原语，此新进程可再次遭到利用，导致任意文件读取。 (CVE-2023-23597)

- Mozilla：在 Linux 上从 GTK 拖放读取任意文件 (CVE-2023-23598)

- Mozilla：devtools 输出中可能隐藏恶意命令 (CVE-2023-23599)

- 按来源存储通知权限的方式未考虑授予权限的浏览上下文。这可能导致在不同的浏览会话期间显示通知。此错误仅影响 Android 版 Firefox 。其他操作系统不受影响。(CVE-2023-23600)

- Mozilla：将 URL 从跨源 iframe 拖动到同一选项卡会触发导航 (CVE-2023-23601)

- Mozilla：内容安全策略未正确应用到 WebWorker 中的 WebSockets (CVE-2023-23602)

- Mozilla：调用 <code>console.log</code> 允许通过格式指令 (CVE-2023-23603)

- 通过 <code>DOMParser 解析非系统 html 文档时，可创建重复的 <code>SystemPrincipal</code> 对象：: ParseFromSafeString</code>。这可能导致绕过 Web 安全检查。
(CVE-2023-23604)

- Mozilla：在 Firefox 109 和 Firefox ESR 102.7 中修复了内存安全缺陷 (CVE-2023-23605)

- Mozilla 开发人员和 Mozilla Fuzzing 团队报告 Firefox 108 中存在内存安全错误。其中某些错误展示出内存损坏迹象，我们推测若攻击者付出足够努力，就能利用部分错误运行任意代码。(CVE-2023-23606)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

解决方案

所有 Mozilla Firefox ESR 二进制用户均应升级至最新版本：

# emerge --sync # emerge --ask --oneshot --verbose >=www-client/firefox-bin-102.7.0: esr 所有 Mozilla Firefox ESR 用户均应升级至最新版本：

# emerge --sync # emerge --ask --oneshot --verbose >=www-client/firefox-102.7.0: esr 所有 Mozilla Firefox 二进制用户均应升级至最新版本：

# emerge --sync # emerge --ask --oneshot --verbose >=www-client/firefox-bin-109.0: rapid 所有 Mozilla Firefox 用户均应升级至最新版本：

# emerge --sync # emerge --ask --oneshot --verbose >=www-client/firefox-109.0: rapid