Firefox ESR 24.x < 24.2 多种漏洞

critical Nessus 插件 ID 71346
全新!插件严重性现在使用 CVSS v3

计算的插件严重性默认已更新为使用 CVSS v3。没有 CVSS v3 分数的插件将回退到 CVSS v2 来计算严重性。可以在设置下拉列表中切换严重性显示首选项。

简介

远程 Windows 主机包含可能受多种漏洞影响的 Web 浏览器。

描述

安装的 Firefox ESR 24.x 版本低于 24.2,因此可能受到以下漏洞的影响:

- 浏览器引擎存在内存问题,可能导致拒绝服务或执行任意代码。(CVE-2013-5609、CVE-2013-5610)

- 用于合成鼠标移动处理的函数中存在两个释放后使用漏洞。
(CVE-2013-5613)

- 在观察到的类型集之外可生成“GetElementIC”键入的数组存根的情况中存在问题。此问题可导致不可预测的行为,并具有潜在的安全影响。(CVE-2013-5615)

- 在与 mListeners 数组中的事件监听器互动时存在一个释放后使用漏洞。此漏洞可导致拒绝服务或任意代码的执行。(CVE-2013-5616)

- 在垃圾回收期间,编辑器的表编辑用户界面存在一个释放后使用漏洞。此漏洞可导致拒绝服务或任意代码的执行。(CVE-2013-5618)

-“libjpeg”库中使用 Start Of Scan (SOS) 和 Define Huffman Table (DHT) 标记的 JPEG 格式图像处理存在问题。这可允许攻击者读取任意内存内容以及跨域窃取图像。(CVE-2013-6629、CVE-2013-6630)

- 在通过脚本将排序的列表插入文档时存在内存问题,可导致拒绝服务或任意代码执行。
(CVE-2013-6671)

- 在扩展验证 (EV) 证书验证期间,用于内置根证书的信任设置被忽略。此缺陷导致用户无法对来自特定颁发机构的证书手动取消信任。(CVE-2013-6673)

- 中间人 (MITM) 流量管理设备使用的中间证书存在于 Mozilla 的根证书颁发机构。据报告,此证书已被误用。

解决方案

升级到 Firefox ESR 24.2 或更高版本。

另见

https://www.mozilla.org/en-US/security/advisories/mfsa2013-104/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-108/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-109/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-111/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-113/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-114/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-115/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-116/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-117/

插件详情

严重性: Critical

ID: 71346

文件名: mozilla_firefox_24_2_esr.nasl

版本: 1.11

类型: local

代理: windows

系列: Windows

发布时间: 2013/12/11

最近更新时间: 2019/11/27

依存关系: mozilla_org_installed.nasl

风险信息

CVSS 分数来源: CVE-2013-5618

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 7.4

矢量: AV:N/AC:L/Au:N/C:C/I:C/A:C

时间矢量: E:U/RL:OF/RC:C

漏洞信息

CPE: cpe:/a:mozilla:firefox_esr

必需的 KB 项: Mozilla/Firefox/Version

易利用性: No known exploits are available

补丁发布日期: 2013/12/10

漏洞发布日期: 2013/12/10

参考资料信息

CVE: CVE-2013-5609, CVE-2013-5610, CVE-2013-5613, CVE-2013-5615, CVE-2013-5616, CVE-2013-5618, CVE-2013-6629, CVE-2013-6630, CVE-2013-6671, CVE-2013-6673

BID: 63676, 63679, 64203, 64204, 64206, 64209, 64211, 64212, 64213, 64216