遠端 Debian 10 主機上安裝的多個套件受到 dla-3364 公告中提及的多個弱點影響。

  - 有時，在遵循迭代器的情況下使 JIT 程式碼無效時，可能會錯誤地覆寫新產生的程式碼。這可導致可能遭利用的程式損毀問題。(CVE-2023-25751)

  - 存取節流的資料流時，需要在呼叫函式中檢查可用位元組的計數是否在邊界內。這可能導致未來的程式碼不正確並且容易遭受攻擊。
    (CVE-2023-25752)

  - 在 AudioWorklets 上實作時，某些程式碼可能已將一種類型轉換為另一種無效的動態類型。
    這可導致可能遭利用的程式損毀問題。(CVE-2023-28162)

  - 從在拖曳期間移除的跨來源 iframe 中拖曳 URL 可導致使用者混淆和網站偽造攻擊。(CVE-2023-28164)

  - Mozilla 開發人員 Timothy Nikkel、Andrew McCreight 以及 Mozilla Fuzzing 團隊報告 Thunderbird 102.8 中存在記憶體安全錯誤。其中某些錯誤顯示記憶體遭到損毀，我們推測若有心人士有意操控，可能利用其中部分錯誤執行任意程式碼。(CVE-2023-28176)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

偵測

Debian DLA-3364-1：firefox-esr - LTS 安全性更新

high Nessus Plugin ID 172658

版本 1.3

版本 1.2

版本 1.1

版本 1.0

版本 1.3 Aug 30, 2023, 4:14 PM CVSS metrics ("CVSSv2 score" changed from 7.5 to 10.0. "CVSSv3 score" changed from 9.8 to 8.8. "CVSSv3 vector" changed from "CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H" to "CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H". "CVSSv2 vector" changed from "CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P" to "CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C") CVSSv3 score source (set to "CVE-2023-28176") Plugin Feed: 202308301614
版本 1.2 Apr 13, 2023, 7:01 PM IAVM reference Plugin Feed: 202304131901
版本 1.1 Apr 4, 2023, 12:12 PM IAVM reference STIG Severity (set to "I") Plugin Feed: 202304041212
版本 1.0 Mar 18, 2023, 4:01 AM New Plugin Feed: 202303180401