Mozilla Firefox < 133.0
critical Nessus Plugin ID 211872
語言:
概要
遠端 Windows 主機上安裝的 Web 瀏覽器會受到多個弱點影響。說明
遠端 Windows 主機上安裝的 Firefox 版本是 133.0 之前版本。因此,該應用程式會受到 mfsa2024-63 公告中提及的多個弱點影響。- 處理錯誤路徑時,`secpkcs7decoderstartdecrypt()` 可能發生重複釋放問題。
在特定情況下,相同的對稱金鑰可能被重複釋放,這可能導致記憶體損毀。(CVE-2024-11704)
- Apple 晶片 M 系列裝置上的某些 WebGL 操作可能導致超出邊界寫入和記憶體損毀,這是因為 Apple GPU 驅動程式中的瑕疵所導致。此錯誤只會影響 Apple M 系列硬體上的應用程式。其他平台不受影響。(CVE-2024-11691)
- 惡意網站可能已經能夠透過 tapjacking 執行使用者意圖確認。這可導致使用者在不知情的情況下核准了外部應用程式的啟動,進而可能使其暴露於基礎弱點。(CVE-2024-11700)
- 攻擊者可造成選取下拉式清單顯示在另一個索引標籤上;這可導致使用者混淆及可能的偽造攻擊。 (CVE-2024-11692)
- 在中斷導覽嘗試期間位址列中可能顯示不正確的網域。
這可導致使用者混淆,也可能觸發偽造攻擊。(CVE-2024-11701)
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
升級至 Mozilla Firefox 133.0 或更新版本。另請參閱
https://www.mozilla.org/en-US/security/advisories/mfsa2024-63/
Plugin 詳細資訊
嚴重性: Critical
ID: 211872
檔案名稱: mozilla_firefox_133_0.nasl
版本: 1.9
類型: local
代理程式: windows
系列: Windows
已發布: 2024/11/26
已更新: 2025/11/18
支援的感應器: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 6.7
CVSS v2
風險因素: Critical
基本分數: 10
時間性分數: 7.4
媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 評分資料來源: CVE-2024-11694
CVSS v3
風險因素: Critical
基本分數: 9.8
時間性分數: 8.5
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
CVSS 評分資料來源: CVE-2024-11704
弱點資訊
CPE: cpe:/a:mozilla:firefox
必要的 KB 項目: installed_sw/Mozilla Firefox
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2024/11/26
弱點發布日期: 2024/11/26
參考資訊
CVE: CVE-2024-11691, CVE-2024-11692, CVE-2024-11693, CVE-2024-11694, CVE-2024-11695, CVE-2024-11696, CVE-2024-11697, CVE-2024-11698, CVE-2024-11699, CVE-2024-11700, CVE-2024-11701, CVE-2024-11702, CVE-2024-11703, CVE-2024-11704, CVE-2024-11705, CVE-2024-11706, CVE-2024-11708
IAVA: 2024-A-0769-S, 2025-A-0079-S