Firefox ESR 31.x < 31.4 多种漏洞

high Nessus 插件 ID 80522

简介

远程 Windows 主机包含受多种漏洞影响的 Web 浏览器。

描述

远程 Windows 主机上安装的 Firefox ESR 31.x 版本低于 31.4。因此,它受到以下漏洞的影响:

- 浏览器引擎中存在多种不明内存安全问题。(CVE-2014-8634、CVE-2014-8635)

-“navigator.sendBeacon()”中存在不遵守跨源资源共享规范的缺陷。这可导致来自“sendBeacon()”的请求缺少“origin”标头,从而允许恶意站点执行 XSRF 攻击。(CVE-2014-8638)

- 接收包含“set-cookie”标头的 407 代理认证响应时存在缺陷。这可允许会话固定攻击。(CVE-2014-8639)

- WebRTC 中存在因处理跟踪的方式造成的释放后读取缺陷,该缺陷可导致潜在的可利用崩溃或错误的 WebRTC 行为。
(CVE-2014-8641)

解决方案

升级到 Firefox ESR 31.4 或更高版本。

另见

https://www.mozilla.org/en-US/security/advisories/mfsa2015-01/

https://www.mozilla.org/en-US/security/advisories/mfsa2015-03/

https://www.mozilla.org/en-US/security/advisories/mfsa2015-04/

https://www.mozilla.org/en-US/security/advisories/mfsa2015-06/

插件详情

严重性: High

ID: 80522

文件名: mozilla_firefox_31_4_esr.nasl

版本: 1.9

类型: local

代理: windows

系列: Windows

发布时间: 2015/1/14

最近更新时间: 2019/11/25

支持的传感器: Frictionless Assessment Agent, Frictionless Assessment Azure, Frictionless Assessment AWS, Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 5.5

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 分数来源: CVE-2014-8641

漏洞信息

CPE: cpe:/a:mozilla:firefox_esr

必需的 KB 项: Mozilla/Firefox/Version

易利用性: No known exploits are available

补丁发布日期: 2015/1/13

漏洞发布日期: 2015/1/13

参考资料信息

CVE: CVE-2014-8634, CVE-2014-8635, CVE-2014-8638, CVE-2014-8639, CVE-2014-8641

BID: 72044, 72046, 72047, 72049, 72050

CWE: 20, 442, 629, 711, 712, 722, 725, 74, 750, 751, 79, 800, 801, 809, 811, 864, 900, 928, 931, 990