Amazon Linux 2：firefox (ALASFIREFOX-2024-029)

critical Nessus Plugin ID 207402

語系：

概要

遠端 Amazon Linux 2 主機缺少安全性更新。

說明

遠端主機上安裝的 Firefox 版本比 115.15.0-1 舊。因此，會受到 ALAS2FIREFOX-2024-029 公告中所提及的多個弱點影響。

在用作 `with` 環境的物件上查詢內容名稱時，可能會觸發可遭利用的類型混淆弱點。此弱點會影響 Firefox < 130、Firefox ESR < 128.2 和 Firefox ESR < 115.15。(CVE-2024-8381)

針對內部瀏覽器事件執行有權限的 EventHandler 接聽程式回呼時，Web 內容會顯示內部瀏覽器事件介面。嘗試使用這些介面的 Web 內容無法以提升的權限使用這些介面，但這些介面的存在表示某些瀏覽器功能已被使用，例如當使用者開啟 Dev Tools 主控台時。此弱點會影響 Firefox < 130、Firefox ESR < 128.2 和 Firefox ESR < 115.15。(CVE-2024-8382)

Mozilla Foundation 的安全公告顯示，Firefox 在處理 news: 和 snews: 等 Usenet 配置時，並未提示需要進行確認，導致惡意程式可註冊為處置程式。利用此疏忽，網站可在未經使用者同意的情況下啟動這些程式。
(CVE-2024-8383)

如果在兩個通道之間的正確點偵測到 OOM 情形，JavaScript 記憶體回收行程可能會錯誤著色跨區間物件。這可導致記憶體損毀。此弱點會影響 Firefox < 130、Firefox ESR < 128.2 和 Firefox ESR < 115.15。(CVE-2024-8384)

Tenable 已直接從所測試產品的安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。