Mozilla Firefox < 90.0
critical Nessus Plugin ID 151572
語言:
概要
遠端 macOS 或 Mac OS X 主機上安裝的 Web 瀏覽器受到多個弱點影響。說明
遠端 macOS 或 Mac OS X 主機上安裝的 Firefox 版本低於 90.0。因此,會受到 mfsa2021-28 公告中所提及的多個弱點影響。- 如果使用者已授予某網頁的權限並儲存該授權,則在相同主機上執行的任何網頁
- 無論配置或連接埠 - 都會被授予該權限。此問題僅會影響 Android 版 Firefox。其他作業系統不受影響。(CVE-2021-29971)
- 惡意網頁可能會觸發釋放後使用、記憶體損毀,以及可能遭惡意利用的當機。此錯誤只會在啟用協助工具時影響 Firefox。(CVE-2021-29970)
- ANGLE 中的超出邊界寫入可能會允許攻擊者損毀記憶體,進而導致可能遭到惡意利用的當機。(CVE-2021-30547)
- 透過測試發現一個釋放後使用弱點,其追蹤至過時的 Cairo 程式庫。
更新程式庫可解決此問題,且可能也已修復其他未知的安全性弱點。(CVE-2021-29972)
- 在 Android 版 Firefox 的不安全網站上,在沒有使用者互動的情況下啟用密碼自動填入功能。此問題已更正現需要使用者與頁面互動之後瀏覽器的自動填入功能才能輸入使用者的密碼。此問題僅會影響 Android 版 Firefox。其他作業系統不受影響。(CVE-2021-29973)
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
升級至 Mozilla Firefox 90.0 或更新版本。另請參閱
https://www.mozilla.org/en-US/security/advisories/mfsa2021-28/
Plugin 詳細資訊
嚴重性: Critical
ID: 151572
檔案名稱: macos_firefox_90_0.nasl
版本: 1.8
類型: local
代理程式: macosx
已發布: 2021/7/13
已更新: 2025/11/18
支援的感應器: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 6.7
CVSS v2
風險因素: High
基本分數: 7.5
時間性分數: 5.9
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS 評分資料來源: CVE-2021-29971
CVSS v3
風險因素: Critical
基本分數: 9.8
時間性分數: 8.8
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:P/RL:O/RC:C
弱點資訊
CPE: cpe:/a:mozilla:firefox
必要的 KB 項目: installed_sw/Mozilla Firefox
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2021/7/13
弱點發布日期: 2021/6/8
參考資訊
CVE: CVE-2021-29970, CVE-2021-29971, CVE-2021-29972, CVE-2021-29973, CVE-2021-29974, CVE-2021-29975, CVE-2021-29976, CVE-2021-29977, CVE-2021-30547
IAVA: 2021-A-0293-S, 2021-A-0309-S