Firefox ESR 31.x < 31.2 多种漏洞

high Nessus 插件 ID 78472

简介

远程 Windows 主机包含受多种漏洞影响的 Web 浏览器。

描述

远程 Windows 主机上安装的 Firefox ESR 31.x 版本低于 31.2。因此,它受到以下漏洞的影响:

- 浏览器引擎中存在多种内存安全缺陷。攻击者可利用这些缺陷造成拒绝服务或执行任意代码。(CVE-2014-1574、CVE-2014-1575)

- 在 CSS 解析期间更改大写样式时存在一个缓冲区溢出漏洞。
(CVE-2014-1576)

- 在自定义波形中使用无效值时,Web 音频组件中存在越界读取错误,可导致拒绝服务或信息泄露。(CVE-2014-1577)

- 处理“WebM”格式的视频中的无效平铺大小时存在越界写入错误,可导致任意代码执行。(CVE-2014-1578)

- 在文本布局中使用文本方向时,“DirectionalityUtils”组件中存在一个释放后使用错误,可导致任意代码执行。(CVE-2014-1581)

- 存在可导致恶意应用程序使用“AlarmAPI”读取跨源引用,并允许绕过同源策略的错误。
(CVE-2014-1583)

- 在“iframe”元素之内运行会话时,WebRTC 中存在多种问题,可使会话即使是在停止共享和返回网站时仍处于可访问状态。这可能导致无意中共享视频。(CVE-2014-1585、CVE-2014-1586)

解决方案

升级到 Firefox ESR 31.2 或更高版本。

另见

https://www.mozilla.org/security/announce/2014/mfsa2014-76.html

https://www.mozilla.org/security/announce/2014/mfsa2014-77.html

https://www.mozilla.org/security/announce/2014/mfsa2014-79.html

https://www.mozilla.org/security/announce/2014/mfsa2014-81.html

https://www.mozilla.org/security/announce/2014/mfsa2014-82.html

https://www.mozilla.org/security/announce/2014/mfsa2014-74.html

https://www.mozilla.org/security/announce/2014/mfsa2014-75.html

插件详情

严重性: High

ID: 78472

文件名: mozilla_firefox_31_2_esr.nasl

版本: 1.8

类型: local

代理: windows

系列: Windows

发布时间: 2014/10/15

最近更新时间: 2019/11/25

支持的传感器: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 5.5

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 分数来源: CVE-2014-1581

漏洞信息

CPE: cpe:/a:mozilla:firefox_esr

必需的 KB 项: Mozilla/Firefox/Version

易利用性: No known exploits are available

补丁发布日期: 2014/10/14

漏洞发布日期: 2014/10/14

参考资料信息

CVE: CVE-2014-1574, CVE-2014-1575, CVE-2014-1576, CVE-2014-1577, CVE-2014-1578, CVE-2014-1581, CVE-2014-1583, CVE-2014-1585, CVE-2014-1586

BID: 70424, 70425, 70426, 70427, 70428, 70430, 70436, 70439, 70440