偵測

Mozilla Firefox < 131.0

high Nessus Plugin ID 207978

語言:

概要

遠端 Windows 主機上安裝的 Web 瀏覽器會受到多個弱點影響。

說明

遠端 Windows 主機上安裝的 Firefox 版本是 131.0 之前版本。因此,它受到 mfsa2024-46 公告中提及的多個弱點影響。

 - 在特製網頁上啟用全螢幕模式的使用者可能無法退出全螢幕模式。由於位址列不再可見,因此攻擊者可能會偽造其他網站。
 此錯誤僅會影響 Android 版 Firefox Focus。其他版本的 Firefox 不受影響。(CVE-2024-9391)

 - 遭入侵的內容處理程序可允許任意載入跨來源頁面。
 (CVE-2024-9392)

 - 攻擊者可透過特製的多部分回應,在 `resource://pdf.js` 來源下執行任意 JavaScript,從而存取跨來源的 PDF 內容。桌面用戶端上的「網站隔離」功能僅允許存取同一網站文件,但仍可在 Android 版本上進行完整的跨來源存取。(CVE-2024-9393)

 - 攻擊者可透過特製的多部分回應,在 `resource://devtools` 來源下執行任意 JavaScript,從而存取跨來源的 JSON 內容。桌面用戶端上的「網站隔離」功能僅允許存取同一網站文件,但仍可在 Android 版本上進行完整的跨來源存取。(CVE-2024-9394)

 - 若特製檔案名稱含有大量空格,會導致檔案的副檔名在下載對話方塊中顯示時變得模糊。此問題僅會影響 Android 版 Firefox。其他版本的 Firefox 不受影響。(CVE-2024-9395)

 - 目前尚不清楚此問題是否會遭到惡意利用,但可能會出現以結構化方式複製某些物件會導致記憶體損毀的情況。(CVE-2024-9396)

 - 目錄上傳 UI 中的遺漏延遲可讓攻擊者透過點擊劫持來誘騙使用者授予權限。(CVE-2024-9397)

 - 攻擊者可使用特別設定的通訊協定處置程式檢查呼叫 `window.open` 的結果,進而判斷是否已安裝實作該通訊協定處置程式的應用程式。(CVE-2024-9398)

 - 設定為發起特製 WebTransport 工作階段的網站可使 Firefox 處理程序損毀,進而導致拒絕服務情形。(CVE-2024-9399)

 - 如果攻擊者能夠在 JIT 編譯期間的特定時刻觸發 OOM,則可觸發潛在的記憶體損毀弱點。(CVE-2024-9400)

 - Firefox 130、Firefox ESR 115.15、Firefox ESR 128.2 和 Thunderbird 128.2 中存在記憶體安全錯誤。
 其中某些錯誤顯示記憶體遭到損毀,我們推測若有心人士有意操控,可能利用其中部分錯誤執行任意程式碼。(CVE-2024-9401)

 - Firefox 130、Firefox ESR 128.2 和 Thunderbird 128.2 中存在記憶體安全錯誤。其中某些錯誤顯示記憶體遭到損毀,我們推測若有心人士有意操控,可能利用其中部分錯誤執行任意程式碼。(CVE-2024-9402)

 - Firefox 130 中存在記憶體安全錯誤。某些錯誤顯示記憶體會遭到損毀,我們推測若有心人士有意操控,可能惡意利用其中部分錯誤執行任意程式碼。
 (CVE-2024-9403)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

升級至 Mozilla Firefox 131.0 或更新版本。

另請參閱

https://www.mozilla.org/en-US/security/advisories/mfsa2024-46/

Plugin 詳細資訊

嚴重性: High

ID: 207978

檔案名稱: mozilla_firefox_131_0.nasl

版本: 1.6

類型: local

代理程式: windows

系列: Windows

已發布: 2024/10/1

已更新: 2024/11/26

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.7

CVSS v2

風險因素: High

基本分數: 7.8

時間性分數: 5.8

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:N/A:N

CVSS 評分資料來源: CVE-2024-9394

CVSS v3

風險因素: High

基本分數: 7.5

時間性分數: 6.5

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: cpe:/a:mozilla:firefox

必要的 KB 項目: Mozilla/Firefox/Version

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2024/10/1

弱點發布日期: 2024/10/1

參考資訊

CVE: CVE-2024-9391, CVE-2024-9392, CVE-2024-9393, CVE-2024-9394, CVE-2024-9395, CVE-2024-9396, CVE-2024-9397, CVE-2024-9398, CVE-2024-9399, CVE-2024-9400, CVE-2024-9401, CVE-2024-9402, CVE-2024-9403

IAVA: 2024-A-0607-S