Firefox < 26.0 多种漏洞

critical Nessus 插件 ID 71347

简介

远程 Windows 主机包含可能受多种漏洞影响的 Web 浏览器。

描述

安装的 Firefox 版本低于 26.0,因此可能受到以下漏洞的影响:

- 浏览器引擎存在内存问题,可能导致拒绝服务或执行任意代码。(CVE-2013-5609、CVE-2013-5610)

- 存在问题,其中 Web App 安装通知可从一个网站持续至另一个网站。恶意网站可利用此问题诱骗用户安装来自某个网站的应用程序,而使该应用程序看起来是来自其他网站。(CVE-2013-5611)

- 由于当前网站缺少字符集编码时字符编码从之前访问的网站继承,可能发生跨站脚本逃避。(CVE-2013-5612)

- 用于合成鼠标移动处理的函数中存在两个释放后使用漏洞。
(CVE-2013-5613)

- 由于“iframe sandbox”限制未正确应用至沙盒 iframes 中的“object”元素,可能绕过沙盒限制。(CVE-2013-5614)

- 在观察到的类型集之外可生成“GetElementIC”键入的数组存根的情况中存在问题。此问题可导致不可预测的行为,并具有潜在的安全影响。(CVE-2013-5615)

- 在与 mListeners 数组中的事件监听器互动时存在一个释放后使用漏洞。此漏洞可导致拒绝服务或任意代码的执行。(CVE-2013-5616)

- 在垃圾回收期间,编辑器的表编辑用户界面存在一个释放后使用漏洞。此漏洞可导致拒绝服务或任意代码的执行。(CVE-2013-5618)

- SpiderMonkey JavaScript 引擎中的二进制搜索算法存在内存问题,可导致拒绝服务或者任意代码执行。
(CVE-2013-5619)

-“libjpeg”库中使用 Start Of Scan (SOS) 和 Define Huffman Table (DHT) 标记的 JPEG 格式图像处理存在问题。这可允许攻击者读取任意内存内容以及跨域窃取图像。(CVE-2013-6629、CVE-2013-6630)

- 在通过脚本将排序的列表插入文档时存在内存问题,可导致拒绝服务或任意代码执行。
(CVE-2013-6671)

- 在扩展验证 (EV) 证书验证期间,用于内置根证书的信任设置被忽略。此缺陷导致用户无法对来自特定颁发机构的证书手动取消信任。(CVE-2013-6673)

- 中间人 (MITM) 流量管理设备使用的中间证书存在于 Mozilla 的根证书颁发机构。据报告,此证书已被误用。

解决方案

升级到 Firefox 26.0 或更高版本。

另见

https://www.mozilla.org/en-US/security/advisories/mfsa2013-110/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-111/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-113/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-114/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-115/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-116/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-117/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-104/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-105/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-106/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-107/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-108/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-109/

插件详情

严重性: Critical

ID: 71347

文件名: mozilla_firefox_26.nasl

版本: 1.11

类型: local

代理: windows

系列: Windows

发布时间: 2013/12/11

最近更新时间: 2019/11/27

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 7.4

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2013-5618

漏洞信息

CPE: cpe:/a:mozilla:firefox

必需的 KB 项: Mozilla/Firefox/Version

易利用性: No known exploits are available

补丁发布日期: 2013/12/10

漏洞发布日期: 2013/12/10

参考资料信息

CVE: CVE-2013-5609, CVE-2013-5610, CVE-2013-5611, CVE-2013-5612, CVE-2013-5613, CVE-2013-5614, CVE-2013-5615, CVE-2013-5616, CVE-2013-5618, CVE-2013-5619, CVE-2013-6629, CVE-2013-6630, CVE-2013-6671, CVE-2013-6673

BID: 63676, 63679, 64203, 64204, 64205, 64206, 64207, 64209, 64211, 64212, 64213, 64214, 64215, 64216

CWE: 20, 442, 629, 711, 712, 722, 725, 74, 750, 751, 79, 800, 801, 809, 811, 864, 900, 928, 931, 990