偵測

Mozilla Firefox < 85.0

high Nessus Plugin ID 145465

語系:

概要

遠端 Windows 主機上安裝的 Web 瀏覽器會受到多個弱點影響。

說明

遠端 Windows 主機上安裝的 Firefox 版本是 85.0 之前版本。因此,會受到 mfsa2021-03 公告中提及的多個弱點影響。

 - 如果使用者按一下特別建構的 PDF,當跨來源資訊作為區塊資料提供時,PDF 讀取器可能會受到混淆而此類資訊。(CVE-2021-23953)

 - 在 JavaScript 交換器陳述式中使用新的邏輯指派運算子可造成類型混淆,進而導致記憶體損毀和可能遭利用的當機。(CVE-2021-23954)

 - 瀏覽器可受到混淆,將指標鎖定狀態傳輸至其他索引標籤,進而導致點擊劫持攻擊。(CVE-2021-23955)

 - 不明確的檔案選擇器設計可混淆原本要選取並上傳單一檔案的使用者,使其上傳整個目錄。此問題已透過新增提示解決。(CVE-2021-23956)

 - 透過 Android 特定「intent」URL 配置的導覽可能遭到誤用以逸出 iframe 沙箱。注意:此問題僅會影響 Android 版 Firefox。其他作業系統不受影響。
 (CVE-2021-23957)

 - 瀏覽器可能遭到混淆,將畫面共用狀態傳輸至其他索引標籤,進而洩漏非預期的資訊。(CVE-2021-23958)

 - 內部錯誤頁面中的 XSS 錯誤可導致多種偽造攻擊,包括其他錯誤頁面和位址列。注意:此問題僅會影響 Android 版 Firefox。其他作業系統不受影響。(CVE-2021-23959)

 - 在重新宣告的 JavaScript 變數上執行記憶體回收,導致破壞後使用及可能遭利用的當機。(CVE-2021-23960)

 - 其他基於轉碼流研究構建的技術結合惡意網頁可洩漏內部網路的主機,以及使用者本機電腦上執行的服務。
 (CVE-2021-23961)

 - RowCountChanged 方法使用不當可導致破壞後使用及可能遭利用的當機。(CVE-2021-23962)

 - 在使用中的 WebRTC 共用期間共用地理位置時,Firefox 可在使用者介面中重設 webRTC 共用狀態,進而導致無法控制目前授予的權限 (CVE-2021-23963)

 - Mozilla 開發人員 Andrew McCreight、Tyson Smith、Jesse Schwartzentruber、Jon Coppeard、Byron Campen、Andr Bargull、Steve Fink、Jason Kratzer、Christian Holler 和 Alexis Beingessner 報告 Firefox 84 和 Firefox ESR 78.6 中存在記憶體安全錯誤。某些錯誤顯示記憶體會遭到損毀,我們推測若有心人士有意操控,可能惡意利用其中部分錯誤執行任意程式碼。
 (CVE-2021-23964)

 - Mozilla 開發人員 Sebastian Hengst、Christian Holler 和 Tyson Smith 報告 Firefox 84 中存在記憶體安全錯誤。其中某些錯誤顯示記憶體遭到損毀,我們推測若有心人士有意操控,可能利用其中部分錯誤執行任意程式碼。(CVE-2021-23965)

請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼。

解決方案

升級至 Mozilla Firefox 85.0 或更新版本。

另請參閱

https://www.mozilla.org/en-US/security/advisories/mfsa2021-03/

Plugin 詳細資訊

嚴重性: High

ID: 145465

檔案名稱: mozilla_firefox_85_0.nasl

版本: 1.10

類型: local

代理程式: windows

系列: Windows

已發布: 2021/1/27

已更新: 2024/1/26

支援的感應器: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.7

CVSS v2

風險因素: Medium

基本分數: 6.8

時間分數: 5.3

媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS 評分資料來源: CVE-2021-23965

CVSS v3

風險因素: High

基本分數: 8.8

時間分數: 7.9

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:P/RL:O/RC:C

弱點資訊

CPE: cpe:/a:mozilla:firefox

必要的 KB 項目: Mozilla/Firefox/Version

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2021/1/26

弱點發布日期: 2021/1/26

參考資訊

CVE: CVE-2021-23953, CVE-2021-23954, CVE-2021-23955, CVE-2021-23956, CVE-2021-23957, CVE-2021-23958, CVE-2021-23959, CVE-2021-23960, CVE-2021-23961, CVE-2021-23962, CVE-2021-23963, CVE-2021-23964, CVE-2021-23965

IAVA: 2021-A-0051-S, 2021-A-0185-S