Mozilla Firefox < 57.0
critical Nessus Plugin ID 104638
語言:
概要
遠端 Windows 主機上安裝的 Web 瀏覽器會受到多個弱點影響。說明
遠端 Windows 主機上安裝的 Firefox 版本是 57.0 之前版本。因此,該應用程式受到 mfsa2017-24 公告中提及的多個弱點影響。- Mozilla 開發人員和社群成員 Boris Zbarsky、Carsten Book、Christian Holler、Byron Campen、Jan de Mooij、Jason Kratzer、Jesse Schwartzentruber、Marcia Knous、Randell Jesup、Tyson Smith 和 Ting-Yu Chou 報告 Firefox 56 中存在記憶體安全性錯誤。某些錯誤顯示記憶體會遭到損毀,我們推測若有心人士有意操控,可惡意利用其中部分錯誤執行任意程式碼。(CVE-2017-7827)
- 由於 <code>PressShell</code> 物件在仍然使用中遭到釋放,因此可能在清空和調整版面配置大小時發生釋放後使用弱點。這樣會在上述作業期間造成可能遭惡意利用的當機。(CVE-2017-7828)
- Resource Timing API 錯誤地洩漏跨來源 iframe 的導覽。這是同源原則違規,可能導致使用者載入的 URL 資料遭竊。(CVE-2017-7830)
- 安全性包裝函式不會拒絕使用 Proxy 物件上不建議使用的 <code>exposeProps</code> 機制存取某些公開內容的弱點。這些內容應該明確不可用於 Proxy 物件。(CVE-2017-7831)
- 在多數的字型集中,可以透過在網址列中使用無點的「i」字母,並在第二個字元後面跟著相同的重音符號,偽造字母「i」與 Unicode 中任何可能的重音符號 (例如銳音符或重音符) 的組合、單一字元版本。因為這些合併的網域名稱不會顯示為 punycode,這樣可能會允許網域偽造攻擊。(CVE-2017-7832)
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
升級至 Mozilla Firefox 57.0 或更新版本。另請參閱
https://www.mozilla.org/en-US/security/advisories/mfsa2017-24/
Plugin 詳細資訊
嚴重性: Critical
ID: 104638
檔案名稱: mozilla_firefox_57_0.nasl
版本: 1.7
類型: local
代理程式: windows
系列: Windows
已發布: 2017/11/16
已更新: 2025/11/18
支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 6.7
CVSS v2
風險因素: Critical
基本分數: 10
時間性分數: 7.4
媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 評分資料來源: CVE-2017-7827
CVSS v3
風險因素: Critical
基本分數: 9.8
時間性分數: 8.5
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
CVSS 評分資料來源: CVE-2017-7828
弱點資訊
CPE: cpe:/a:mozilla:firefox
必要的 KB 項目: installed_sw/Mozilla Firefox
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2017/11/14
弱點發布日期: 2017/11/14
參考資訊
CVE: CVE-2017-7826, CVE-2017-7827, CVE-2017-7828, CVE-2017-7830, CVE-2017-7831, CVE-2017-7832, CVE-2017-7833, CVE-2017-7834, CVE-2017-7835, CVE-2017-7836, CVE-2017-7837, CVE-2017-7838, CVE-2017-7839, CVE-2017-7840, CVE-2017-7842
BID: 101832
MFSA: 2017-24