Mozilla Firefox < 63 Multiple Vulnerabilities

high Nessus Plugin ID 118397

語系：

概要

遠端 Windows 主機上安裝的網頁瀏覽器會受到多個弱點影響。

說明

遠端 Windows 主機上安裝的 Mozilla Firefox 版本比 63 舊。因此，會受到多個弱點影響：- 在 Android 版 Firefox 上播放 HTTP 即時串流期間，可違反安全性規則存取跨來源的音效資料。由於問題出在基礎的 Android 服務上，問題的解決方法是將所有 HLS 串流視為跨來源和不透明存取。*請注意：此問題只會影響 Android 版 Firefox。桌面版 Firefox 並不受影響。*(CVE-2018-12391) - 透過指令碼開啟文件時，若同時在巢狀迴圈中操控使用者事件，可能會因為不正確處理事件，而觸發可能的損毀。(CVE-2018-12392) - 在 32 位元組建中發現潛在弱點 - 將指令碼轉換為內部 UTF-16 表示法期間會發生整數溢位，進而導致為轉換配置的緩衝區過小。此弱點可能會造成超出邊界寫入。*注意：64 位元組建不受此問題影響。*(CVE-2018-12393) -利用 webRequest API 重新改寫主機要求標頭，WebExtension 可繞過網域前方的網域限制。這會導致存取分享主機行為遭到限制的網域。(CVE-2018-12395) - 發現弱點，WebExtension 可在瀏覽或其他事件之後在不允許的內容中執行內容指令碼。這可導致在不應該執行內容指令碼的網站上，可能的 WebExtension 權限提升。(CVE-2018-12396) - WebExtension 可要求存取本機檔案，卻未向使用者顯示警告提示，說明延伸模組將「存取所有網站的資料」。當開啟本機檔案時，這會導致在未顯示權限警告的情況下，延伸模組執行本機頁面中的內容指令碼。(CVE-2018-12397) - 在某些特別的資源 URI (如 chrome:) 中使用反映 URL 可能會插入樣式表，並繞過內容安全性原則 (CSP)。(CVE-2018-12398) - 註冊新通訊協定處理常式時，API 接受的標題引數可被利用來誤導使用者，讓其混淆正在註冊新通訊協定的網域。這可造成使用者核准了不該核准的通訊協定處理常式。(CVE-2018-12399) - 在 Android 版 Firefox 的私密瀏覽模式中，系統會在快取/圖示資料中快取 favicon，好像它們處於非私密模式一樣。這會導致在私密瀏覽工作階段期間所造訪網站的資訊洩漏。*請注意：此問題只會影響 Android 版 Firefox。桌面版 Firefox 並不受影響。*(CVE-2018-12400) - 如果在剖析字串中的 '?' 後使用選用參數載入某些特別的資源 URI，將造成未遭利用的損毀。這會導致拒絕服務 (DOS) 攻擊。(CVE-2018-12401) - 當選取「另存新頁面...」功能表項目來儲存頁面時，系統會將 SameSite Ccookie 傳送到跨來源要求，因此違反 Cookie 原則。這會導致根據那些 Cookie 而儲存錯誤的資源版本。(CVE-2018-12402) - 如果透過 HTTPS 連線載入網站，但是卻透過 HTTP 載入 favicon 資源，系統不會向使用者顯示混合的內容警告。(CVE-2018-12403) - Mozilla 開發人員和社群成員 Christian Holler、Dana Keeler、Ronald Crane、Marcia Knous、Tyson Smith、Daniel Veditz 和 Steve Fink 報告 Firefox 62 中存在記憶體安全性錯誤。某些錯誤顯示記憶體會遭到損毀，我們推測若有心人士有意操控，可惡意利用其中部分錯誤執行任意程式碼。(CVE-2018-12388) - Mozilla 開發人員和社群成員 Christian Holler、Bob Owen、Boris Zbarsky、Calixte Denizet、Jason Kratzer、Jed Davis、Taegeon Lee、Philipp、Ronald Crane、Raul Gurzau、Gary Kwong、Tyson Smith、Raymond Forbes 和 Bogdan Tara 報告 Firefox 62 和 Firefox ESR 60.2 中存在記憶體安全錯誤。某些錯誤顯示記憶體會遭到損毀，我們推測若有心人士有意操控，可惡意利用其中部分錯誤執行任意程式碼。(CVE-2018-12390) 請注意，Nessus 並未嘗試惡意利用這些問題，而是僅依據應用程式自我報告的版本號碼。