Firefox ESR 17.x < 17.0.2 多种漏洞
critical Nessus 插件 ID 63550
语言:
简介
远程 Windows 主机包含受多种漏洞影响的 Web 浏览器。描述
安装的 Firefox 17.x 版本可能受到以下安全问题的影响:- TURKTRUST 证书颁发机构错误地颁发了两个中间证书。(CVE-2013-0743)
- 显示包含多列和列群组的 HTML 表时,存在相关的释放后使用错误。
(CVE-2013-0744)
- 存在与“AutoWrapperChanger”类有关的错误,无法在垃圾回收过程中正确管理对象。(CVE-2012-0745)
- 存在与“jsval”、“quickstubs”和隔离舱不匹配相关的错误,可能导致可被利用的崩溃。(CVE-2013-0746)
- 在插件处理程序中存在涉及事件的错误,可允许绕过同源策略。
(CVE-2013-0747)
- 与 XBL 对象的“toString”方法相关的错误可导致地址信息泄漏。
(CVE-2013-0748)
- 存在与 JavaScript 字符串连接有关的缓冲区溢出。(CVE-2013-0750)
- 存在涉及具有 XBL 文件中所包含 SVG 内容的多个 XML 绑定的错误。(CVE-2013-0752)
- 存在与“XMLSerializer”和“serializeToStream”有关的释放后使用错误。
(CVE-2013-0753)
- 存在与垃圾回收和“ListenManager”有关的释放后使用错误。(CVE-2013-0754)
- 存在涉及“Vibrate”库和“domDoc”的释放后使用错误。(CVE-2013-0755)
- 存在涉及 JavaScript“Proxy”对象的释放后使用错误。(CVE-2013-0756)
- 可通过更改对象原型绕过“Chrome 对象封装程序”(COW),这可能允许执行任意代码。(CVE-2013-0757)
- 与 SVG 元素和插件有关的错误可允许权限升级。(CVE-2013-0758)
- 存在涉及地址栏的错误,可允许 URL 欺骗攻击。(CVE-2013-0759)
- 存在涉及 SSL 和线程的错误,可能会导致可利用的崩溃。
(CVE-2013-0764)
- 存在涉及“Canvas”的错误,从 HTML 向其传递错误的高度或宽度值。(CVE-2013-0768)
解决方案
升级到 Firefox 17.0.2 ESR 或更高版本。另见
http://www.zerodayinitiative.com/advisories/ZDI-13-003/
http://www.zerodayinitiative.com/advisories/ZDI-13-006/
http://www.zerodayinitiative.com/advisories/ZDI-13-037/
http://www.zerodayinitiative.com/advisories/ZDI-13-038/
http://www.zerodayinitiative.com/advisories/ZDI-13-039/
https://www.mozilla.org/en-US/security/advisories/mfsa2013-03/
https://www.mozilla.org/en-US/security/advisories/mfsa2013-04/
https://www.mozilla.org/en-US/security/advisories/mfsa2013-05/
https://www.mozilla.org/en-US/security/advisories/mfsa2013-07/
https://www.mozilla.org/en-US/security/advisories/mfsa2013-08/
https://www.mozilla.org/en-US/security/advisories/mfsa2013-09/
https://www.mozilla.org/en-US/security/advisories/mfsa2013-10/
https://www.mozilla.org/en-US/security/advisories/mfsa2013-11/
https://www.mozilla.org/en-US/security/advisories/mfsa2013-12/
https://www.mozilla.org/en-US/security/advisories/mfsa2013-13/
https://www.mozilla.org/en-US/security/advisories/mfsa2013-14/
https://www.mozilla.org/en-US/security/advisories/mfsa2013-15/
https://www.mozilla.org/en-US/security/advisories/mfsa2013-16/
https://www.mozilla.org/en-US/security/advisories/mfsa2013-17/
https://www.mozilla.org/en-US/security/advisories/mfsa2013-18/
https://www.mozilla.org/en-US/security/advisories/mfsa2013-19/
https://www.mozilla.org/en-US/security/advisories/mfsa2013-20/
插件详情
严重性: Critical
ID: 63550
文件名: mozilla_firefox_1702.nasl
版本: 1.19
类型: local
代理: windows
系列: Windows
发布时间: 2013/1/15
最近更新时间: 2019/12/4
支持的传感器: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
风险信息
VPR
风险因素: Critical
分数: 9.5
CVSS v2
风险因素: Critical
基本分数: 10
时间分数: 8.7
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2013-0768
漏洞信息
CPE: cpe:/a:mozilla:firefox
必需的 KB 项: Mozilla/Firefox/Version
可利用: true
易利用性: Exploits are available
补丁发布日期: 2013/1/8
漏洞发布日期: 2013/1/8
可利用的方式
Core Impact
Metasploit (Firefox 17.0.1 Flash Privileged Code Injection)
参考资料信息
CVE: CVE-2013-0744, CVE-2013-0745, CVE-2013-0746, CVE-2013-0747, CVE-2013-0748, CVE-2013-0750, CVE-2013-0752, CVE-2013-0753, CVE-2013-0754, CVE-2013-0755, CVE-2013-0756, CVE-2013-0757, CVE-2013-0758, CVE-2013-0759, CVE-2013-0764, CVE-2013-0768
BID: 57204, 57209, 57211, 57213, 57215, 57217, 57218, 57228, 57232, 57234, 57235, 57236, 57238, 57240, 57241, 57244, 57258