Firefox < 22.0 多种漏洞
critical Nessus 插件 ID 66993
语言:
简介
远程 Windows 主机包含可能受多种漏洞影响的 Web 浏览器。描述
安装的 Firefox 版本低于 22.0,因此可能受到以下漏洞的影响:- 存在各种不明的内存安全问题。
(CVE-2013-1682、CVE-2013-1683)
- 存在与“LookupMediaElementURITable”、“nsIDocument::GetRootElement”及“mozilla::ResetDir”相关的释放后使用堆内存错误。
(CVE-2013-1684、CVE-2013-1685、CVE-2013-1686)
- 存在与“XBL scope”、“System Only Wrappers”(SOW) 及 chrome 权限页面相关的错误,可导致跨站脚本攻击。(CVE-2013-1687)
- 存在与“profiler”相关的错误,可导致任意代码执行。(CVE-2013-1688)
- 与“onreadystatechange”及未映射内存相关的错误可导致应用程序崩溃,并且允许任意代码执行。(CVE-2013-1690)
- 应用程序发送 XMLHttpRequest (XHR) HEAD 请求正文中的数据,可帮助执行跨站请求伪造攻击。(CVE-2013-1692)
- 与 SVG 内容处理相关的错误可导致时序攻击,从而跨域泄露信息。(CVE-2013-1693)
- 存在与“PreserveWrapper”及“preserved-wrapper”标记相关的错误,可导致潜在可利用的应用程序崩溃。(CVE-2013-1694)
- 存在与“<iframe sandbox>”限制相关的错误,可导致绕过这些限制。(CVE-2013-1695)
- 在某些情况下会忽略“X-Frame-Options”标头,可帮助点击劫持攻击。
(CVE-2013-1696)
- 存在与“toString”及“valueOf”方法相关的错误,可导致绕过“XrayWrappers”。
(CVE-2013-1697)
- 存在与“getUserMedia”权限对话相关的错误,可导致用户受到诱骗提供对非预期域的访问权限。
(CVE-2013-1698)
- 伪装域欺骗保护不完整,某些攻击仍可能使用国际化域名 (IDN)。(CVE-2013-1699)
- Windows 上存在与“Mozilla 维护服务”相关的错误,可允许不安全的更新。
(CVE-2013-1700)
解决方案
升级到 Firefox 22.0 或更高版本。另见
https://www.mozilla.org/en-US/security/advisories/mfsa2013-49/
https://www.mozilla.org/en-US/security/advisories/mfsa2013-50/
https://www.mozilla.org/en-US/security/advisories/mfsa2013-51/
https://www.mozilla.org/en-US/security/advisories/mfsa2013-52/
https://www.mozilla.org/en-US/security/advisories/mfsa2013-53/
https://www.mozilla.org/en-US/security/advisories/mfsa2013-54/
https://www.mozilla.org/en-US/security/advisories/mfsa2013-55/
https://www.mozilla.org/en-US/security/advisories/mfsa2013-56/
https://www.mozilla.org/en-US/security/advisories/mfsa2013-57/
https://www.mozilla.org/en-US/security/advisories/mfsa2013-58/
https://www.mozilla.org/en-US/security/advisories/mfsa2013-59/
https://www.mozilla.org/en-US/security/advisories/mfsa2013-60/
https://www.mozilla.org/en-US/security/advisories/mfsa2013-61/
https://www.mozilla.org/en-US/security/advisories/mfsa2013-62/
插件详情
严重性: Critical
ID: 66993
文件名: mozilla_firefox_22.nasl
版本: 1.14
类型: local
代理: windows
系列: Windows
发布时间: 2013/6/26
最近更新时间: 2022/3/29
支持的传感器: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
风险信息
VPR
风险因素: Critical
分数: 9.5
CVSS v2
风险因素: Critical
基本分数: 10
时间分数: 8.7
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2013-1686
漏洞信息
CPE: cpe:/a:mozilla:firefox
必需的 KB 项: Mozilla/Firefox/Version
可利用: true
易利用性: Exploits are available
补丁发布日期: 2013/6/25
漏洞发布日期: 2013/6/25
CISA 已知可遭利用的漏洞到期日期: 2022/4/18
可利用的方式
Metasploit (Firefox onreadystatechange Event DocumentViewerImpl Use After Free)
参考资料信息
CVE: CVE-2013-1682, CVE-2013-1683, CVE-2013-1684, CVE-2013-1685, CVE-2013-1686, CVE-2013-1687, CVE-2013-1688, CVE-2013-1690, CVE-2013-1692, CVE-2013-1693, CVE-2013-1694, CVE-2013-1695, CVE-2013-1696, CVE-2013-1697, CVE-2013-1698, CVE-2013-1699, CVE-2013-1700
BID: 60688, 60765, 60766, 60768, 60773, 60774, 60776, 60777, 60778, 60779, 60783, 60784, 60785, 60787, 60789, 60790, 60791