Rocky Linux 8：firefox (RLSA-2022:6175)

high Nessus Plugin ID 184591

語言:

概要

遠端 Rocky Linux 主機缺少一個或多個安全性更新。

說明

遠端 Rocky Linux 8 主機上安裝的多個套件受到 RLSA-2022:6175 公告中提及的多個弱點影響。

- 攻擊者可濫用 XSLT 錯誤處理，將攻擊者控制的內容與位址列中顯示的另一個來源相關聯。藉此來誘騙使用者提交預定提供給偽造來源的資料。此弱點會影響 Thunderbird < 102.2、Thunderbird < 91.13、Firefox ESR < 91.13、Firefox ESR < 102.2 和 Firefox < 104。(CVE-2022-38472)

- 參照 XSLT 文件的跨來源 iframe 會繼承父項網域的權限 (例如麥克風或相機存取權)。此弱點會影響 Thunderbird < 102.2、Thunderbird < 91.13、Firefox ESR < 91.13、Firefox ESR < 102.2 和 Firefox < 104。(CVE-2022-38473)

- <code>PK11_ChangePW</code> 函式中可能會發生資料爭用，進而可能導致釋放後使用弱點。在 Firefox 中，當使用者變更主密碼時，此鎖定可保護資料。
此弱點會影響 Firefox ESR < 102.2 and Thunderbird < 102.2。(CVE-2022-38476)

- Mozilla 開發人員 Nika Layzell 和 Mozilla Fuzzing 團隊報告 Firefox 103 和 Firefox ESR 102.1 中存在記憶體安全錯誤。某些錯誤顯示記憶體會遭到損毀，我們推測若有心人士有意操控，可能惡意利用其中部分錯誤執行任意程式碼。此弱點會影響 Firefox ESR < 102.2、Thunderbird < 102.2 和 Firefox < 104。(CVE-2022-38477)

- Mozilla Fuzzing 團隊成員報告 Firefox 103、Firefox ESR 102.1 和 Firefox ESR 91.12 中存在記憶體安全錯誤。某些錯誤顯示記憶體會遭到損毀，我們推測若有心人士有意操控，可能惡意利用其中部分錯誤執行任意程式碼。此弱點會影響 Thunderbird < 102.2、Thunderbird < 91.13、Firefox ESR < 91.13、Firefox ESR < 102.2 和 Firefox < 104。
(CVE-2022-38478)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。