Mozilla Firefox < 65.0

critical Nessus Plugin ID 121511

語言:

概要

遠端 macOS 或 Mac OS X 主機上安裝的 Web 瀏覽器受到多個弱點影響。

說明

遠端 macOS 或 Mac OS X 主機上安裝的 Firefox 版本低於 65.0。因此，會受到 mfsa2019-01 公告中所提及的多個弱點影響。

- Mozilla 開發人員和社群成員 Iakab、Christoph Diehl、Christian Holler、Kalel、Emilio Cobos lvarez、Cristina Coroiu、Noemi Erli、Natalia Csoregi、Julian Seward、Gary Kwong、Tyson Smith、Yaron Tausky 及 Ronald Crane 指出 Firefox 64 中有記憶體安全性錯誤。某些錯誤顯示記憶體會遭到損毀，我們推測若有心人士有意操控，可惡意利用其中部分錯誤執行任意程式碼。(CVE-2018-18502)

- 處理序間通訊 (IPC) 弱點 (CVE-2011-3079) 先前的修正程式在 IPC 端點與伺服器父項之間新增了 IPC 程序建立期間的通訊驗證。此驗證對於啟動 IPC 程序後才建立的通道並不足夠，導致系統未將驗證正確套用到後來的通道。這可能會造成沙箱經由 IPC 通道逸出，這是因為接聽程式程序中缺乏訊息驗證所致。(CVE-2018-18505)

- 使用自訂 HTML 元素剖析 HTML5 串流時，出現釋放後使用弱點。這造成串流剖析器物件在使用中狀態下遭到釋放，進而導致可能遭到惡意利用的損毀。(CVE-2018-18500)

- 若在進行圖形操作時將使用中的材質用戶端緩衝區釋放，可能會發生損毀及超出邊界讀取情形。這可能導致可能遭到惡意利用的損毀，以及可從已釋放緩衝區的記憶體讀取。(CVE-2018-18504)

- 使用 JavaScript 來建立並操控音訊緩衝區時，可能會產生一個可能遭到惡意利用的損毀，這是因為在某些情況下發生區間不相符所致。(CVE-2018-18503)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。