GLSA-202210-34：Mozilla Firefox：多個弱點

high Nessus Plugin ID 166768

語系：

描述

遠端主機受到 GLSA-202210-34 中所述的弱點影響 (Mozilla Firefox：多個弱點)

- 違反同源原則使攻擊者能夠透過 <code>performance.getEntries()</code> 竊取跨來源 URL 項目，進而洩漏重新導向的結果。(CVE-2022-42927)

- 特定類型的配置缺少註解，如果 Garbage Collector 處於特定狀態，此問題可導致記憶體損毀，並可能造成系統當機。(CVE-2022-42928)

- 如果網站以特定方式呼叫 <code>window.print()</code>，則可造成瀏覽器拒絕服務，根據使用者的工作階段還原設定，此情況可能會在瀏覽器重新啟動後持續存在。
(CVE-2022-42929)

- 如果有兩個工作者同時初始化其 CacheStorage，則 <code>ThirdPartyUtil</code> 元件中可能會發生資料爭用。(CVE-2022-42930)

- Firefox 儲存的登入資訊應由 Password Manager 元件管理，該元件使用加密方式將檔案儲存在磁碟上。使用者名稱 (非密碼) 則由 Form Manager 儲存至磁碟上未加密的檔案。(CVE-2022-42931)

- Mozilla 開發人員 Ashley Hale 和 Mozilla Fuzzing 團隊報告 Thunderbird 102.3 中存在記憶體安全錯誤。其中某些錯誤顯示記憶體遭到損毀，我們推測若有心人士有意操控，可能利用其中部分錯誤執行任意程式碼。(CVE-2022-42932)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

所有 Mozilla Firefox ESR 使用者皆應升級至最新版本：

# emerge --sync # emerge --ask --oneshot --verbose >=www-client/firefox-102.4.0 所有 Mozilla Firefox ESR 二進位使用者皆應升級至最新版本：

# emerge --sync # emerge --ask --oneshot --verbose >=www-client/firefox-bin-102.4.0 所有 Mozilla Firefox 使用者皆應升級至最新版本：

# emerge --sync # emerge --ask --oneshot --verbose >=www-client/firefox-106.0 所有 Mozilla Firefox 二進位使用者皆應升級至最新版本：

# emerge --sync # emerge --ask --oneshot --verbose >=www-client/firefox-bin-106.0