Mozilla Firefox ESR < 60.3 多個弱點

high Nessus Plugin ID 118395

語系：

概要

遠端 Windows 主機上安裝的網頁瀏覽器會受到多個弱點影響。

說明

遠端 Windows 主機上安裝的 Mozilla Firefox ESR 版本比 60.3 舊。因此，會受到多個弱點影響：- 在 Android 版 Firefox 上播放 HTTP 即時串流期間，可違反安全性規則存取跨來源的音效資料。由於問題出在基礎的 Android 服務上，問題的解決方法是將所有 HLS 串流視為跨來源和不透明存取。*請注意：此問題只會影響 Android 版 Firefox。桌面版 Firefox 並不受影響。*(CVE-2018-12391) - 透過指令碼開啟文件時，若同時在巢狀迴圈中操控使用者事件，可能會因為不正確處理事件，而觸發可能的損毀。(CVE-2018-12392) - 在 32 位元組建中發現潛在弱點 - 將指令碼轉換為內部 UTF-16 表示法期間會發生整數溢位，進而導致為轉換配置的緩衝區過小。此弱點可能會造成超出邊界寫入。*注意：64 位元組建不受此問題影響。*(CVE-2018-12393) -利用 webRequest API 重新改寫主機要求標頭，WebExtension 可繞過網域前方的網域限制。這會導致存取分享主機行為遭到限制的網域。(CVE-2018-12395) - 發現弱點，WebExtension 可在瀏覽或其他事件之後在不允許的內容中執行內容指令碼。這可導致在不應該執行內容指令碼的網站上，可能的 WebExtension 權限提升。(CVE-2018-12396) - WebExtension 可要求存取本機檔案，卻未向使用者顯示警告提示，說明延伸模組將「存取所有網站的資料」。當開啟本機檔案時，這會導致在未顯示權限警告的情況下，延伸模組執行本機頁面中的內容指令碼。(CVE-2018-12397) - Mozilla 開發人員和社群成員 Daniel Veditz 和 Philipp 報告 Firefox ESR 60.2 中存在記憶體安全錯誤。某些錯誤顯示記憶體會遭到損毀，我們推測若有心人士有意操控，可惡意利用其中部分錯誤執行任意程式碼。(CVE-2018-12389) - Mozilla 開發人員和社群成員 Christian Holler、Bob Owen、Boris Zbarsky、Calixte Denizet、Jason Kratzer、Jed Davis、Taegeon Lee、Philipp、Ronald Crane、Raul Gurzau、Gary Kwong、Tyson Smith、Raymond Forbes 和 Bogdan Tara 報告 Firefox 62 和 Firefox ESR 60.2 中存在記憶體安全錯誤。某些錯誤顯示記憶體會遭到損毀，我們推測若有心人士有意操控，可惡意利用其中部分錯誤執行任意程式碼。(CVE-2018-12390) 請注意，Nessus 並未嘗試惡意利用這些問題，而是僅依據應用程式自我報告的版本號碼。