Rocky Linux 8：firefox (RLSA-2022:8580)

critical Nessus Plugin ID 170773

語言:

概要

遠端 Rocky Linux 主機缺少一個或多個安全性更新。

說明

遠端 Rocky Linux 8 主機上安裝的多個套件受到 RLSA-2022:8580 公告中提及的多個弱點影響。

- Mozilla 開發人員 Andrew McCreight 和 Gabriele Svelto 報告，Thunderbird 102.4 中存在記憶體安全性錯誤。某些錯誤顯示記憶體會遭到損毀，我們推測若有心人士有意操控，可能惡意利用其中部分錯誤執行任意程式碼。此弱點會影響 Firefox ESR < 102.5、Thunderbird < 102.5 和 Firefox < 107。(CVE-2022-45421)

- Service Worker 不應推斷出有關不透明跨來源回應的資訊；但是跨來源媒體的計時資訊與 Range 要求相結合，可能允許他們判斷媒體檔案的存在狀態或長度。此弱點會影響 Firefox ESR < 102.5、Thunderbird < 102.5 和 Firefox < 107。(CVE-2022-45403)

- 透過一系列快顯和 <code>window.print()</code> 呼叫，攻擊者可造成視窗在沒有通知提示的情況下全螢幕顯示，這可能導致使用者混淆或偽造攻擊。此弱點會影響 Firefox ESR < 102.5、Thunderbird < 102.5 和 Firefox < 107。
(CVE-2022-45404)

- 在不同於「建立」的執行緒上釋放任意 <code>nsIInputStream</code>，可導致釋放後使用弱點以及可能遭惡意利用的當機問題。此弱點會影響 Firefox ESR < 102.5、Thunderbird < 102.5 和 Firefox < 107。(CVE-2022-45405)

- 如果在建立 JavaScript 全域時發生記憶體不足的情況，JavaScript 領域可能會被刪除，而其參照仍存在於 BaseShape 中。這可引致釋放後使用，進而導致可能遭到惡意利用的當機問題。此弱點會影響 Firefox ESR < 102.5、Thunderbird < 102.5 和 Firefox < 107。(CVE-2022-45406)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。