遠端 Debian 10 主機上安裝的多個套件受到 dla-3790 公告中提及的多個弱點影響。

  - 視窗未處於焦點時，權限提示輸入延遲可能會過期。這使其容易遭受惡意網站發動的點擊劫持攻擊。此弱點會影響 Firefox < 124、Firefox ESR < 115.10 和 Thunderbird < 115.10。(CVE-2024-2609)

  - 可處理的 HTTP/2 CONTINUATION 框架數沒有限制。伺服器可濫用此弱點，在瀏覽器中造成記憶體不足情形。此弱點會影響 Firefox < 125 和 Firefox ESR < 115.10。(CVE-2024-3302)

  - 當套用 JIT 最佳化時，GetBoundName 可能會傳回物件的錯誤版本。此弱點會影響 Firefox < 125、Firefox ESR < 115.10 和 Thunderbird < 115.10。(CVE-2024-3852)

  - 在某些程式碼模式中，JIT 未正確最佳化交換器陳述式，並產生具有超出邊界讀取問題的程式碼。此弱點會影響 Firefox < 125、Firefox ESR < 115.10 和 Thunderbird < 115.10。
    (CVE-2024-3854)

  - 在某些情況下，JIT 會針對引數建立不正確的程式碼。這會導致在記憶體回收期間發生由釋放後使用造成的程式損毀。此弱點會影響 Firefox < 125、Firefox ESR < 115.10 和 Thunderbird < 115.10。(CVE-2024-3857)

  - 在 32 位元版本中，存在會導致超出邊界讀取的整數溢位弱點，透過格式錯誤的 OpenType 字型可觸發此弱點。此弱點會影響 Firefox < 125、Firefox ESR < 115.10 和 Thunderbird < 115.10。(CVE-2024-3859)

  - 如果將 AlignedBuffer 指派給本身，後續的自我移動可導致錯誤的參照計數，以及之後的釋放後使用問題。此弱點會影響 Firefox < 125、Firefox ESR < 115.10 和 Thunderbird < 115.10。(CVE-2024-3861)

  - Firefox 124、Firefox ESR 115.9 和 Thunderbird 115.9 中存在記憶體安全錯誤。此錯誤顯示記憶體損毀跡象，我們推測若有心人士有意操控，可利用此錯誤來執行任意程式碼。此弱點會影響 Firefox < 125 和 Firefox ESR < 115.10。(CVE-2024-3864)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

偵測

Debian dla-3790：firefox-esr - 安全性更新

high Nessus Plugin ID 193569

版本 1.2