Firefox ESR < 38.5 多种漏洞

critical Nessus 插件 ID 87475

简介

远程 Windows 主机包含受多种漏洞影响的 Web 浏览器。

描述

远程 Windows 主机上安装的 Firefox ESR 版本低于 38.5。因此,它受到以下漏洞的影响:

- 由于未正确验证用户提供的输入,存在多种不明内存损坏问题。远程攻击者可利用这些问题,通过诱使用户访问特别构建的网页,造成任意代码执行。(CVE-2015-7201)

- 由于未正确处理 RTP 标头,RtpHeaderParser::Parse() 函数中存在缺陷。未经认证的远程攻击者可以利用此缺陷,通过特别构建的 RTP 标头执行任意代码。(CVE-2015-7205)

- 由于未正确防止已关闭 PeerConnections 上的 datachannel 操作,存在一个释放后使用错误。攻击者可利用此问题取消引用已经释放的内存,从而导致执行任意代码。
(CVE-2015-7210)

- 由于处理图形操作中的纹理分配时未正确验证用户提供的输入,AllocateForSurface() 函数中存在溢出情况。攻击者可利用此缺陷执行任意代码。(CVE-2015-7212)

- 由于处理特别构建的 MP4 文件时未正确验证用户提供的输入,readMetaData() 函数中存在整数溢出情况。攻击者可利用此缺陷执行任意代码。(CVE-2015-7213)

- 由于未正确处理“data:”和“view-source:”URI,存在一个同源绕过漏洞。攻击者可利用此漏洞从跨站 URL 和本地文件中读取数据。(CVE-2015-7214)

- parseChunk() 函数的 libstagefright 捆绑版本中存在整数下溢情况,处理“covr”区块时会触发该情况。未经认证的远程攻击者可利用此情况,通过特别构建的媒体内容,造成应用程序崩溃或执行任意代码。(CVE-2015-7222)

解决方案

升级到 Firefox ESR 38.5 或更高版本。

另见

https://www.mozilla.org/en-US/security/advisories/mfsa2015-138/

https://www.mozilla.org/en-US/security/advisories/mfsa2015-139/

https://www.mozilla.org/en-US/security/advisories/mfsa2015-145/

https://www.mozilla.org/en-US/security/advisories/mfsa2015-146/

https://www.mozilla.org/en-US/security/advisories/mfsa2015-147/

https://www.mozilla.org/en-US/security/advisories/mfsa2015-149/

插件详情

严重性: Critical

ID: 87475

文件名: mozilla_firefox_38_5_esr.nasl

版本: 1.7

类型: local

代理: windows

系列: Windows

发布时间: 2015/12/17

最近更新时间: 2019/11/20

支持的传感器: Nessus Agent

风险信息

CVSS 分数来源: CVE-2015-7205

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 7.4

矢量: AV:N/AC:L/Au:N/C:C/I:C/A:C

时间矢量: E:U/RL:OF/RC:C

漏洞信息

CPE: cpe:/a:mozilla:firefox_esr

必需的 KB 项: Mozilla/Firefox/Version

易利用性: No known exploits are available

补丁发布日期: 2015/12/15

漏洞发布日期: 2015/7/15

参考资料信息

CVE: CVE-2015-7201, CVE-2015-7205, CVE-2015-7210, CVE-2015-7212, CVE-2015-7213, CVE-2015-7214, CVE-2015-7222

BID: 79279, 79283