Slackware Linux 15.0 / 最新版 mozilla-firefox 多個弱點 (SSA:2024-107-01)

critical Nessus Plugin ID 193370

語系：

概要

遠端 Slackware Linux 主機缺少 mozilla-firefox 的安全性更新。

說明

遠端主機上安裝的 mozilla-firefox 版本低於 115.10.0esr。因此，它受到 SSA:2024-107-01 公告中提及的多個弱點影響。

- 視窗未處於焦點時，權限提示輸入延遲可能會過期。這使其容易遭受惡意網站發動的點擊劫持攻擊。此弱點會影響 Firefox < 124 和 Firefox ESR < 115.10。
(CVE-2024-2609)

- 可處理的 HTTP/2 CONTINUATION 框架數沒有限制。伺服器可濫用此弱點，在瀏覽器中造成記憶體不足情形。此弱點會影響 Firefox < 125 和 Firefox ESR < 115.10。(CVE-2024-3302)

- 當套用 JIT 最佳化時，GetBoundName 可能會傳回物件的錯誤版本。此弱點會影響 Firefox < 125 和 Firefox ESR < 115.10。(CVE-2024-3852)

- 在某些程式碼模式中，JIT 未正確最佳化交換器陳述式，並產生具有超出邊界讀取問題的程式碼。此弱點會影響 Firefox < 125 和 Firefox ESR < 115.10。(CVE-2024-3854)

- 在某些情況下，JIT 會針對引數建立不正確的程式碼。這會導致在記憶體回收期間發生由釋放後使用造成的程式損毀。此弱點會影響 Firefox < 125 和 Firefox ESR < 115.10。
(CVE-2024-3857)

- 在 32 位元版本中，存在會導致超出邊界讀取的整數溢位弱點，透過格式錯誤的 OpenType 字型可觸發此弱點。此弱點會影響 Firefox < 125 和 Firefox ESR < 115.10。(CVE-2024-3859)

- 如果將 AlignedBuffer 指派給本身，後續的自我移動可導致錯誤的參照計數，以及之後的釋放後使用問題。此弱點會影響 Firefox < 125 和 Firefox ESR < 115.10。(CVE-2024-3861)

- 下載 .xrm-ms 檔案時未顯示可執行檔警告。*注意，此問題會影響 Windows 作業系統。其他作業系統不受影響。* 此弱點會影響 Firefox < 125 和 Firefox ESR < 115.10。(CVE-2024-3863)

- Firefox 124、Firefox ESR 115.9 和 Thunderbird 115.9 中存在記憶體安全錯誤。此錯誤顯示記憶體損毀跡象，我們推測若有心人士有意操控，可利用此錯誤來執行任意程式碼。此弱點會影響 Firefox < 125 和 Firefox ESR < 115.10。(CVE-2024-3864)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。