FreeBSD:firefox -- 搭配插件使用 Service Workers 的同源策略违规 (172b22cb-d3f6-11e5-ac9e-485d605f4717)
high Nessus 插件 ID 88743
语言:
简介
远程 FreeBSD 主机缺少一个或多个与安全有关的更新。描述
Mozilla Foundation 报告:MFSA 2016-13 OneSignal 的 Jason Pang 报告,服务工作线程会拦截要发送给通过浏览器提出的插件网络请求的响应。如果服务工作线程伪造网络请求的响应,根据这些请求内容来进行安全决策的插件,可以导致这些决策遭到破坏。例如,伪造的 crossdomain.xml 可允许恶意网站使用 Flash 插件来违反同源策略。
解决方案
更新受影响的程序包。另见
https://www.mozilla.org/en-US/security/advisories/mfsa2016-13/
插件详情
严重性: High
ID: 88743
文件名: freebsd_pkg_172b22cbd3f611e5ac9e485d605f4717.nasl
版本: 2.9
类型: local
发布时间: 2016/2/16
最近更新时间: 2021/1/4
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: Medium
基本分数: 6.8
矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
CVSS v3
风险因素: High
基本分数: 8.8
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
漏洞信息
CPE: p-cpe:/a:freebsd:freebsd:firefox, p-cpe:/a:freebsd:freebsd:linux-firefox, cpe:/o:freebsd:freebsd
必需的 KB 项: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info
补丁发布日期: 2016/2/15
漏洞发布日期: 2016/2/11
参考资料信息
CVE: CVE-2016-1949