Firefox < 36.0.4 SVG 绕过权限升级 (Mac OS X)

high Nessus 插件 ID 82037

简介

远程 Mac OS X 主机包含受权限升级漏洞影响的 Web 浏览器。

描述

远程 Mac OS X 主机上安装的 Mozilla Firefox 版本低于 36.0.4。由于“docshell/base/nsDocShell.cpp”中存在与 SVG 格式内容导航相关的缺陷,因此会受到权限升级漏洞的影响。远程攻击者可利用此漏洞绕过同源策略保护,从而允许在特权上下文中执行任意脚本。

解决方案

升级到 Firefox 36.0.4 或更高版本。

另见

https://www.mozilla.org/en-US/security/advisories/mfsa2015-28/

插件详情

严重性: High

ID: 82037

文件名: macosx_firefox_36_0_4.nasl

版本: 1.8

类型: local

代理: macosx

发布时间: 2015/3/24

最近更新时间: 2019/11/22

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 5.5

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 分数来源: CVE-2015-0818

漏洞信息

CPE: cpe:/a:mozilla:firefox

必需的 KB 项: MacOSX/Firefox/Installed

易利用性: No known exploits are available

补丁发布日期: 2015/3/20

漏洞发布日期: 2015/3/18

参考资料信息

CVE: CVE-2015-0818

BID: 73265