偵測

Mozilla Firefox < 68.0

critical Nessus Plugin ID 126622

語言:

概要

遠端 Windows 主機上安裝的 Web 瀏覽器會受到多個弱點影響。

說明

遠端 Windows 主機上安裝的 Firefox 版本是 68.0 之前版本。因此會受到 mfsa2019-21 公告中所提及的多個弱點影響。

 - 在被指令碼明確存取之前 <code>window.globalThis</code> 無法列舉且因此對諸如 <code>Object.getOwnPropertyNames(window)</code>之類的程式碼不可見。部署沙箱的網站若要列舉和凍結視窗物件的存取權可能會遺漏此項目而使其沙箱遭到繞過。 (CVE-2019-11716)

 - Necko 可在 UDP 連線期間存取錯誤執行緒上的子程序導致在某些情況下可能會發生可遭惡意利用的當機。 (CVE-2019-11714)

 - Niklas Baumstark 藉由安裝惡意語言套件後開啟使用遭入侵轉譯的瀏覽器功能,來示範沙箱逸出,這是其獲獎 Pwn2Own 項目的一部份。
 (CVE-2019-9811)

 - 重複使用內部視窗時其未考量使用 <code>document.domain</code> 進行跨來源保護。如果不同子網域上的頁面共同使用 <code>document.domain</code>則任何一個頁面都可以濫用此弱點將指令碼插入另一個子網域上的任意頁面即使是未使用 <code>document.domain</code> 放寬其來源的頁面安全性。 (CVE-2019-11711)

 - 收到狀態 308 重新導向回應的 NPAPI 外掛程式 (如 Flash) 發出的 POST 要求可繞過 CORS 要求。這會允許攻擊者發動跨網站要求偽造 (CSRF) 攻擊。
 (CVE-2019-11712)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

升級至 Mozilla Firefox 68.0 或更新版本。

另請參閱

https://www.mozilla.org/en-US/security/advisories/mfsa2019-21/

Plugin 詳細資訊

嚴重性: Critical

ID: 126622

檔案名稱: mozilla_firefox_68_0.nasl

版本: 1.6

類型: local

代理程式: windows

系列: Windows

已發布: 2019/7/11

已更新: 2025/11/18

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

風險資訊

VPR

風險因素: High

分數: 7.3

CVSS v2

風險因素: High

基本分數: 7.5

時間性分數: 5.9

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 評分資料來源: CVE-2019-11716

CVSS v3

風險因素: Critical

基本分數: 9.8

時間性分數: 8.8

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:P/RL:O/RC:C

CVSS 評分資料來源: CVE-2019-11714

弱點資訊

CPE: cpe:/a:mozilla:firefox

必要的 KB 項目: installed_sw/Mozilla Firefox

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2019/7/9

弱點發布日期: 2019/7/9

參考資訊

CVE: CVE-2019-11709, CVE-2019-11710, CVE-2019-11711, CVE-2019-11712, CVE-2019-11713, CVE-2019-11714, CVE-2019-11715, CVE-2019-11716, CVE-2019-11717, CVE-2019-11718, CVE-2019-11719, CVE-2019-11720, CVE-2019-11721, CVE-2019-11723, CVE-2019-11724, CVE-2019-11725, CVE-2019-11727, CVE-2019-11728, CVE-2019-11729, CVE-2019-11730, CVE-2019-9811

BID: 109081, 109083, 109084, 109085, 109086, 109087

MFSA: 2019-21