Rocky Linux 8：firefox (RLSA-2022:9067)

critical Nessus Plugin ID 170052

語言:

概要

遠端 Rocky Linux 主機缺少一個或多個安全性更新。

說明

遠端 Rocky Linux 8 主機上安裝的多個套件受到 RLSA-2022:9067 公告中提及的多個弱點影響。

- WebGL 延伸模組中的釋放後使用可導致遭惡意利用的當機問題。此弱點會影響 Firefox < 107、Firefox ESR < 102.6 和 Thunderbird < 102.6。(CVE-2022-46882)

- 入侵內容處理程序的攻擊者可透過剪貼簿相關的 IPC 訊息部分逸出沙箱以讀取任意檔案。<br>*此錯誤只會影響 Linux 作業系統上的 Thunderbird。其他作業系統不受影響。* 此弱點會影響 Firefox < 108、Firefox ESR < 102.6 和 Thunderbird < 102.6。(CVE-2022-46872)

- 具有長檔名的檔案可截斷其檔名以移除有效的副檔名，將惡意的副檔名保留在其位置。這可能引發使用者混淆，甚至導致惡意程式碼執行。<br/>*註*: 此問題最初包含在 Thunderbird 的公告中102.6，但修補程式 (Thunderbird 專屬) 遭忽略，導致實際是在 Thunderbird 中進行修復102.6.1。此弱點會影響 Firefox < 108、Thunderbird < 102.6.1、Thunderbird < 102.6 和 Firefox ESR < 102.6。(CVE-2022-46874)

- Mozilla 開發人員 Randell Jesup、Valentin Gosu、Olli Pettay 和 Mozilla Fuzzing 團隊報告 Thunderbird 102.5 版中存在記憶體安全錯誤。某些錯誤顯示記憶體會遭到損毀，我們推測若有心人士有意操控，可能惡意利用其中部分錯誤執行任意程式碼。此弱點會影響 Firefox < 108、Firefox ESR < 102.6 和 Thunderbird < 102.6。(CVE-2022-46878)

- 若未對 tex 單位進行必要的檢查則可能導致釋放後使用，甚至遭到利用而引發當機。<br />*附註*：在我們深入瞭解該問題的影響之後，於 2022 年 12 月 13 日新增此公告。此修正包含在 Firefox 105 的原始版本中。此弱點會影響 Firefox ESR < 102.6、Firefox < 105 和 Thunderbird < 102.6。(CVE-2022-46880)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。