偵測

Slackware Linux 15.0 / 最新版 mozilla-firefox 多個弱點 (SSA:2023-018-04)

high Nessus Plugin ID 170152

語系:

概要

遠端 Slackware Linux 主機缺少 mozilla-firefox 的安全性更新。

說明

遠端主機上安裝的 mozilla-firefox 版本低於 102.7.0esr/109.0。因此,它受到 SSA:2023-018-04 公告中提及的多個弱點影響。

 - 過時的程式庫 (libusrsctp) 含有可能遭到惡意利用的弱點。此弱點會影響 Firefox < 108。(CVE-2022-46871)

 - 透過混淆瀏覽器,可延遲或隱藏全螢幕通知,進而可能導致使用者混淆或偽造攻擊。此弱點會影響 Firefox < 108。(CVE-2022-46877)

 - 由於 Firefox GTK 包裝函式程式碼針對拖曳資料使用文字/純文字,且 GTK 將所有含有檔案 URL 的文字/純文字 MIME 視為遭拖曳,因此網站可透過呼叫 <code>DataTransfer.setData</code> 來任意讀取檔案。(CVE-2023-23598)

 - 將開發人員工具面板中的網路要求複製為 curl 命令時未正確清理輸出,且可允許在其中隱藏任意命令。(CVE-2023-23599)

 - 將 URL 從跨來源 iframe 拖曳到同一個索引標籤時允許導覽,這可導致網站偽造攻擊 (CVE-2023-23601)

 - 在 WebWorker 中建立 WebSocket 時未正確處理安全性檢查,導致內容安全性原則 connect-src 標頭遭到忽略。這可導致從 WebWorker 內部連線至受限制的來源。(CVE-2023-23602)

 - 用於從 <code>console.log</code> 呼叫中的樣式指示詞篩選出禁止的內容和值的規則運算式並未考慮外部 URL,可能會因此從瀏覽器洩漏資料。(CVE-2023-23603)

 - Mozilla 開發人員和 Mozilla Fuzzing 團隊報告 Firefox 108 和 Firefox ESR 102.6 中存在記憶體安全錯誤。其中某些錯誤顯示記憶體遭到損毀,我們推測若有心人士有意操控,可能利用其中部分錯誤執行任意程式碼。(CVE-2023-23605)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼。

解決方案

升級受影響的 mozilla-firefox 套件。

Plugin 詳細資訊

嚴重性: High

ID: 170152

檔案名稱: Slackware_SSA_2023-018-04.nasl

版本: 1.3

類型: local

已發布: 2023/1/18

已更新: 2023/10/24

支援的感應器: Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.7

CVSS v2

風險因素: Critical

基本分數: 10

時間分數: 7.4

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2023-23605

CVSS v3

風險因素: High

基本分數: 8.8

時間分數: 7.7

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:slackware:slackware_linux:mozilla-firefox, cpe:/o:slackware:slackware_linux, cpe:/o:slackware:slackware_linux:15.0

必要的 KB 項目: Host/local_checks_enabled, Host/Slackware/release, Host/Slackware/packages

可輕鬆利用: No known exploits are available

弱點發布日期: 2022/12/15

參考資訊

CVE: CVE-2022-46871, CVE-2022-46877, CVE-2023-23598, CVE-2023-23599, CVE-2023-23601, CVE-2023-23602, CVE-2023-23603, CVE-2023-23605

IAVA: 2023-A-0048-S