Mozilla Firefox ESR < 60.3 Multiple Vulnerabilities (macOS)

high Nessus Plugin ID 118394

Synopsis

遠端 macOS 主機上安裝的網頁瀏覽器受到多個弱點影響。

描述

遠端 macOS 主機上安裝的 Mozilla Firefox ESR 版本比 60.3 舊。因此,會受到多個弱點影響:- 在 Android 版 Firefox 上播放 HTTP 即時串流期間,可能會在違反安全性原則的情況下跨來源存取音訊資料。問題出在基礎 Android 服務,因此可以透過將所有 HLS 串流視為跨來源和不透明存取來解決這個問題。*注意:此問題僅會影響 Android 版 Firefox。桌上型電腦版本的 Firefox 不會受到影響。*(CVE-2018-12391) - 透過指令碼開啟文件的同時操控巢狀迴圈中的使用者事件時,可能會因為事件處理不良而觸發可能遭惡意利用的當機。(CVE-2018-12392) - 在 32 位元組建中發現一個潛在弱點,其中將指令碼轉換為內部 UTF-16 表示法期間的整數溢位可能會導致為轉換配置太小的緩衝區。這可能會導致超出邊界寫入。*注意:64 位元組建不容易受到此問題影響。*(CVE-2018-12393) - 藉由使用 webRequest API 重新撰寫主機要求標頭,WebExtension 就可以透過網域前端繞過網域限制。這會導致存取分享主機行為遭到限制的網域。(CVE-2018-12395) - WebExtension 可以在導覽或其他事件之後,在不允許的內容中執行內容指令碼的弱點。這可能會允許 WebExtension 在不應執行內容指令碼的網站上提升權限。(CVE-2018-12396) - WebExtension 可以要求存取本機檔案,而不會出現警告提示,指出延伸模組將存取向使用者顯示的「所有網站資料」。當開啟本機檔案時,這會導致在未顯示權限警告的情況下,延伸模組執行本機頁面中的內容指令碼。(CVE-2018-12397) - Mozilla 開發人員和社群成員 Daniel Veditz 和 Philipp 報告 Firefox ESR 60.2 中存在記憶體安全錯誤。某些錯誤顯示記憶體會遭到損毀,我們推測若有心人士有意操控,可惡意利用其中部分錯誤執行任意程式碼。(CVE-2018-12389) - Mozilla 開發人員和社群成員 Christian Holler、Bob Owen、Boris Zbarsky、Calixte Denizet、Jason Kratzer、Jed Davis、Taegeon Lee、Philipp、Ronald Crane、Raul Gurzau、Gary Kwong、Tyson Smith、Raymond Forbes 和 Bogdan Tara 報告 Firefox 62 和 Firefox ESR 60.2 中存在記憶體安全錯誤。某些錯誤顯示記憶體會遭到損毀,我們推測若有心人士有意操控,可惡意利用其中部分錯誤執行任意程式碼。(CVE-2018-12390) 請注意,Nessus 並未嘗試惡意利用這些問題,而是僅依據應用程式自我報告的版本號碼。

解決方案

升級至 Mozilla Firefox ESR 60.3 或更新版本。

另請參閱

http://www.nessus.org/u?614520ad

http://www.nessus.org/u?99f950cc

http://www.nessus.org/u?4146eabd

http://www.nessus.org/u?ec6f6183

http://www.nessus.org/u?a30fef4e

http://www.nessus.org/u?75a288c2

http://www.nessus.org/u?a5c1931e

http://www.nessus.org/u?56a8a5aa

http://www.nessus.org/u?10a58f5f

http://www.nessus.org/u?56bedc2c

http://www.nessus.org/u?2fa35353

http://www.nessus.org/u?9ce74e28

http://www.nessus.org/u?6af37c5b

http://www.nessus.org/u?55d351a5

http://www.nessus.org/u?82482803

http://www.nessus.org/u?a6a9565b

http://www.nessus.org/u?5daf782e

http://www.nessus.org/u?166aa054

http://www.nessus.org/u?a933cb35

http://www.nessus.org/u?39935a02

http://www.nessus.org/u?c5b58d2f

http://www.nessus.org/u?f6925998

http://www.nessus.org/u?a31d3226

http://www.nessus.org/u?f93877a1

http://www.nessus.org/u?b3a7cc16

http://www.nessus.org/u?ef389f56

http://www.nessus.org/u?82d76ead

http://www.nessus.org/u?7aced437

Plugin 詳細資訊

嚴重性: High

ID: 118394

檔案名稱: macosx_firefox_60_3_esr.nasl

版本: 1.6

類型: local

代理程式: macosx

已發布: 2018/10/25

已更新: 2019/11/1

支持的傳感器: Nessus Agent

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: High

基本分數: 9.3

時間分數: 6.9

媒介: AV:N/AC:M/Au:N/C:C/I:C/A:C

時間媒介: E:U/RL:OF/RC:C

CVSS 評分資料來源: CVE-2018-12390

CVSS v3

風險因素: High

基本分數: 8.8

時間分數: 7.7

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

時間媒介: E:U/RL:O/RC:C

弱點資訊

CPE: cpe:/a:mozilla:firefox_esr

必要的 KB 項目: MacOSX/Firefox/Version

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2018/10/23

弱點發布日期: 2018/10/23

參考資訊

CVE: CVE-2018-12389, CVE-2018-12390, CVE-2018-12391, CVE-2018-12392, CVE-2018-12393, CVE-2018-12395, CVE-2018-12396, CVE-2018-12397