Ubuntu 16.04 LTS / 18.04 LTS / 18.10 / 19.04:Firefox 迴歸 (USN-3991-3)

critical Nessus Plugin ID 125948
新推出!Plugin 嚴重性目前使用 CVSS v3

計算 Plugin 嚴重性已更新為預設使用 CVSS v3 沒有 CVSS v3 評分的 Plugin 會回歸到以 CVSS v2 計算嚴重性。您可在設定下拉式選單中切換顯示嚴重性的喜好設定

Synopsis

遠端 Ubuntu 主機缺少安全性相關修補程式。

描述

USN-3991-1 修正了 Firefox 中的弱點, USN-3991-2 則修正了後續的迴歸問題。此更新造成了會導致 Firefox 無法在以安全模式執行後正確載入的另一次迴歸問題。此更新可修正該問題。

由此給您帶來的不便,我們深表歉意。

在 Firefox 中發現多個安全性問題。如果使用者遭誘騙而開啟特製網站,攻擊者可能會利用這些弱點造成拒絕服務、偽造瀏覽器 UI、誘騙使用者啟動本機可執行二進位檔、取得敏感資訊、發動跨源指令碼 (XSS) 攻擊或執行任意程式碼。(CVE-2019-11691、CVE-2019-11692、CVE-2019-11693、CVE-2019-11695、CVE-2019-11696、CVE-2019-11699、CVE-2019-11701、CVE-2019-7317、CVE-2019-9800、CVE-2019-9814、CVE-2019-9817、CVE-2019-9819、CVE-2019-9820、CVE-2019-9821)

據發現,按下特定按鍵組合可繞過附加元件安裝提示延遲。如果使用者開啟特製的網站,攻擊者可能利用此弱點誘騙使用者安裝惡意的延伸模組。(CVE-2019-11697)

據發現,歷史資料可能會透過在書籤來回拖放超連結的方式遭到洩露。如果使用者遭到誘騙而將特製的超連結拖曳到書籤工具列或側邊列,然後再將之拖曳回網頁內容區域,則攻擊者可能會利用此問題取得敏感資訊。
(CVE-2019-11698)

據發現,物件群組和 UnboxedObjects 有類型混淆錯誤。如果使用者在啟用 UnboxedObjects 功能後遭到誘騙而開啟特製的網站,攻擊者可能加以惡意利用而繞過安全性檢查。
(CVE-2019-9816)。

請注意,Tenable Network Security 已直接從 Ubuntu 安全性公告擷取前述描述區塊。Tenable 已嘗試在不造成其他問題的前提下,盡可能完成自動清理並將其格式化。

解決方案

更新受影響的 firefox 套件。

另請參閱

https://usn.ubuntu.com/3991-3/

Plugin 詳細資訊

嚴重性: Critical

ID: 125948

檔案名稱: ubuntu_USN-3991-3.nasl

版本: 1.5

類型: local

代理程式: unix

已發布: 2019/6/17

已更新: 2020/9/17

相依性: ssh_get_info.nasl

風險資訊

VPR

風險因素: Medium

分數: 6.7

CVSS v2

風險因素: High

基本分數: 7.5

時間分數: 5.9

媒介: AV:N/AC:L/Au:N/C:P/I:P/A:P

時間媒介: E:POC/RL:OF/RC:C

CVSS v3

風險因素: Critical

基本分數: 9.8

時間分數: 8.8

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: E:P/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:canonical:ubuntu_linux:firefox, cpe:/o:canonical:ubuntu_linux:16.04, cpe:/o:canonical:ubuntu_linux:18.04:-:lts, cpe:/o:canonical:ubuntu_linux:18.10, cpe:/o:canonical:ubuntu_linux:19.04

必要的 KB 項目: Host/cpu, Host/Ubuntu, Host/Ubuntu/release, Host/Debian/dpkg-l

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2019/6/14

弱點發布日期: 2019/2/4

參考資訊

CVE: CVE-2019-11691, CVE-2019-11692, CVE-2019-11693, CVE-2019-11695, CVE-2019-11696, CVE-2019-11697, CVE-2019-11698, CVE-2019-11699, CVE-2019-11701, CVE-2019-7317, CVE-2019-9800, CVE-2019-9814, CVE-2019-9816, CVE-2019-9817, CVE-2019-9819, CVE-2019-9820, CVE-2019-9821

USN: 3991-3