Firefox 3.6.x < 3.6.28 多种漏洞

high Nessus 插件 ID 58349

简介

远程 Windows 主机包含受多种漏洞影响的 Web 浏览器。

描述

安装的 Firefox 3.6.x 版本可能受到以下安全问题的影响:

- 多种内存损坏问题。通过诱骗用户访问特别构建的页面,这些问题可能会允许攻击者在受影响的应用程序的上下文中执行任意代码。(CVE-2012-0457、CVE-2012-0461、CVE-2012-0463、CVE-2012-0464)

- 存在可被攻击者利用的安全绕过漏洞,前提是可诱骗受害者通过将特别构建的链接拖动到“主页”按钮 URL 来设置新的主页,此操作会将用户的主页设置为“javascript:”URL。(CVE-2012-0458)

- 由于 SVG 过滤器中的越界读取,存在信息泄露漏洞。(CVE-2012-0456)

- 存在可通过将“javascript:”链接拖放到框架上来触发的跨站脚本漏洞。(CVE-2012-0455)

解决方案

升级到 Firefox 3.6.28 或更高版本。

另见

https://www.mozilla.org/en-US/security/advisories/mfsa2012-13/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-14/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-16/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-19/

插件详情

严重性: High

ID: 58349

文件名: mozilla_firefox_3628.nasl

版本: 1.9

类型: local

代理: windows

系列: Windows

发布时间: 2012/3/15

最近更新时间: 2018/7/16

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: High

基本分数: 9.3

时间分数: 6.9

矢量: AV:N/AC:M/Au:N/C:C/I:C/A:C

时间矢量: E:U/RL:OF/RC:C

漏洞信息

CPE: cpe:/a:mozilla:firefox

必需的 KB 项: Mozilla/Firefox/Version

易利用性: No known exploits are available

补丁发布日期: 2012/3/13

漏洞发布日期: 2012/3/13

参考资料信息

CVE: CVE-2012-0455, CVE-2012-0456, CVE-2012-0457, CVE-2012-0458, CVE-2012-0461, CVE-2012-0463, CVE-2012-0464

BID: 52458, 52459, 52460, 52461, 52464, 52465, 52466