Firefox < 10.0.12 多种漏洞 (Mac OS X)

critical Nessus 插件 ID 63542
全新!插件严重性现在使用 CVSS v3

计算的插件严重性默认已更新为使用 CVSS v3。没有 CVSS v3 分数的插件将回退到 CVSS v2 来计算严重性。可以在设置下拉列表中切换严重性显示首选项。

简介

远程 Mac OS X 主机包含受到多种漏洞影响的 Web 浏览器。

描述

已安装的 Firefox 版本低于 10.0.12,因此可能受到以下安全问题的影响:

- TURKTRUST 证书颁发机构不正确地颁发两个中间证书。(CVE-2013-0743)

- 显示包含多列和列群组的 HTML 表时,存在相关的释放后使用错误。
(CVE-2013-0744)

- 存在与“jsval”、“quickstubs”和隔离舱不匹配相关的错误,可能导致可被利用的崩溃。(CVE-2013-0746)

- 与 XBL 对象的“toString”方法相关的错误可导致地址信息泄漏。
(CVE-2013-0748)

- 存在与 JavaScript 字符串连接有关的缓冲区溢出。(CVE-2013-0750)

- 存在与“XMLSerializer”和“serializeToStream”有关的释放后使用错误。
(CVE-2013-0753)

- 存在与垃圾回收和“ListenManager”有关的释放后使用错误。(CVE-2013-0754)

- 与 SVG 元素和插件有关的错误可允许权限升级。(CVE-2013-0758)

- 存在涉及地址栏的错误,可允许 URL 欺骗攻击。(CVE-2013-0759)

- 存在多个不明的释放后使用、越界读取和缓冲区溢出错误。(CVE-2013-0762、CVE-2013-0766、CVE-2013-0767)

- 存在不明的内存损坏问题。
(CVE-2013-0769)

请注意,自 2013 年 2 月 13 日起,将不再支持 10.x ESR 分支。在此日期后,只有 17.x ESR 分支会收到安全更新。

解决方案

升级到 Firefox 10.0.12 ESR 或更高版本。

另见

http://www.zerodayinitiative.com/advisories/ZDI-13-003/

http://www.zerodayinitiative.com/advisories/ZDI-13-006/

http://www.zerodayinitiative.com/advisories/ZDI-13-039/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-01/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-02/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-04/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-05/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-09/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-11/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-12/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-15/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-16/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-17/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-20/

插件详情

严重性: Critical

ID: 63542

文件名: macosx_firefox_10_0_12.nasl

版本: 1.19

类型: local

代理: macosx

发布时间: 2013/1/15

最近更新时间: 2019/12/4

依存关系: macosx_firefox_installed.nasl

风险信息

CVSS 分数来源: CVE-2013-0769

VPR

风险因素: Critical

分数: 9.5

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 8.7

矢量: AV:N/AC:L/Au:N/C:C/I:C/A:C

时间矢量: E:H/RL:OF/RC:C

漏洞信息

CPE: cpe:/a:mozilla:firefox

必需的 KB 项: MacOSX/Firefox/Installed

可利用: true

易利用性: Exploits are available

补丁发布日期: 2013/1/8

漏洞发布日期: 2013/1/8

可利用的方式

Core Impact

Metasploit (Firefox 17.0.1 Flash Privileged Code Injection)

参考资料信息

CVE: CVE-2013-0744, CVE-2013-0746, CVE-2013-0748, CVE-2013-0750, CVE-2013-0753, CVE-2013-0754, CVE-2013-0758, CVE-2013-0759, CVE-2013-0762, CVE-2013-0766, CVE-2013-0767, CVE-2013-0769

BID: 57193, 57194, 57195, 57203, 57209, 57217, 57218, 57228, 57232, 57234, 57235, 57238, 57258

CWE: 20, 74, 79, 442, 629, 711, 712, 722, 725, 750, 751, 800, 801, 809, 811, 864, 900, 928, 931, 990