Mozilla Firefox < 85.0

high Nessus Plugin ID 145466

語系:

概要

遠端 macOS 或 Mac OS X 主機上安裝的 Web 瀏覽器受到多個弱點影響。

描述

遠端 macOS 或 Mac OS X 主機上安裝的 Firefox 版本比 85.0 版舊。因此,會受到 mfsa2021-03 公告中提及的多個弱點影響。

 - 如果使用者按一下特別建構的 PDF,當跨來源資訊作為區塊資料提供時,PDF 讀取器可能會受到混淆而此類資訊。(CVE-2021-23953)

 - 在 JavaScript 交換器陳述式中使用新的邏輯指派運算子可造成類型混淆,進而導致記憶體損毀和可能遭利用的當機。(CVE-2021-23954)

 - 瀏覽器可受到混淆,將指標鎖定狀態傳輸至其他索引標籤,進而導致點擊劫持攻擊。(CVE-2021-23955)

 - 不明確的檔案選擇器設計可混淆原本要選取並上傳單一檔案的使用者,使其上傳整個目錄。此問題已透過新增提示解決。(CVE-2021-23956)

 - 透過 Android 特定「intent」URL 配置的導覽可能遭到誤用以逸出 iframe 沙箱。注意:此問題僅會影響 Android 版 Firefox。其他作業系統不受影響。
 (CVE-2021-23957)

 - 瀏覽器可能遭到混淆,將畫面共用狀態傳輸至其他索引標籤,進而洩漏非預期的資訊。(CVE-2021-23958)

 - 內部錯誤頁面中的 XSS 錯誤可導致多種偽造攻擊,包括其他錯誤頁面和位址列。注意:此問題僅會影響 Android 版 Firefox。其他作業系統不受影響。(CVE-2021-23959)

 - 在重新宣告的 JavaScript 變數上執行記憶體回收,導致破壞後使用及可能遭利用的當機。(CVE-2021-23960)

 - 其他基於轉碼流研究構建的技術結合惡意網頁可洩漏內部網路的主機,以及使用者本機電腦上執行的服務。
 (CVE-2021-23961)

 - RowCountChanged 方法使用不當可導致破壞後使用及可能遭利用的當機。(CVE-2021-23962)

 - 在使用中的 WebRTC 共用期間共用地理位置時,Firefox 可在使用者介面中重設 webRTC 共用狀態,進而導致無法控制目前授予的權限 (CVE-2021-23963)

 - Mozilla 開發人員 Andrew McCreight、Tyson Smith、Jesse Schwartzentruber、Jon Coppeard、Byron Campen、Andr Bargull、Steve Fink、Jason Kratzer、Christian Holler 和 Alexis Beingessner 報告 Firefox 84 和 Firefox ESR 78.6 中存在記憶體安全錯誤。某些錯誤顯示記憶體會遭到損毀,我們推測若有心人士有意操控,可能惡意利用其中部分錯誤執行任意程式碼。
 (CVE-2021-23964)

 - Mozilla 開發人員 Sebastian Hengst、Christian Holler 和 Tyson Smith 報告 Firefox 84 中存在記憶體安全錯誤。其中某些錯誤顯示記憶體遭到損毀,我們推測若有心人士有意操控,可能利用其中部分錯誤執行任意程式碼。(CVE-2021-23965)

請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼。

解決方案

升級至 Mozilla Firefox 85.0 或更新版本。

另請參閱

https://www.mozilla.org/en-US/security/advisories/mfsa2021-03/

Plugin 詳細資訊

嚴重性: High

ID: 145466

檔案名稱: macos_firefox_85_0.nasl

版本: 1.9

類型: local

代理程式: macosx

發布日期: 2021/1/27

更新日期: 2021/8/23

支援的感應器: Nessus Agent

風險資訊

VPR

風險因素: Medium

分數: 6.7

CVSS v2

風險因素: Medium

基本分數: 6.8

時間分數: 5

媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

時間媒介: CVSS2#E:U/RL:OF/RC:C

CVSS 評分資料來源: CVE-2021-23962

CVSS v3

風險因素: High

基本分數: 8.8

時間分數: 7.7

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: cpe:/a:mozilla:firefox

必要的 KB 項目: MacOSX/Firefox/Installed

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2021/1/26

弱點發布日期: 2021/1/26

參考資訊

CVE: CVE-2021-23953, CVE-2021-23954, CVE-2021-23955, CVE-2021-23956, CVE-2021-23957, CVE-2021-23958, CVE-2021-23959, CVE-2021-23960, CVE-2021-23961, CVE-2021-23962, CVE-2021-23963, CVE-2021-23964, CVE-2021-23965

IAVA: 2021-A-0051-S, 2021-A-0185-S