Amazon Linux 2023：firefox (ALAS2023-2025-976)

critical Nessus Plugin ID 237666

語言:

概要

遠端 Amazon Linux 2023 主機缺少一個安全性更新。

說明

因此，會受到 ALAS2023-2025-976 公告中所提及的多個弱點影響。

sqlite 3.49.0 版中存在問題，讓攻擊者得以透過 SQLITE_DBCONFIG_LOOKASIDE 元件造成拒絕服務 (CVE-2025-29088)

Firefox 中存在因不當處理 javascript: URI 而造成的處理程序隔離弱點，可能導致在頂層文件的處理程序中執行內容，而不是在預定的框架中執行，有機會引發沙箱逃逸的情形。此弱點會影響 Firefox 138 以前的版本、Firefox ESR 128.10 以前的版本、Firefox ESR 115.23 以前的版本、Thunderbird 138 和 Thunderbird ESR 128.10 以前的版本。(CVE-2025-4083)

在 Thunderbird 中發現一個弱點，其中 XPath 剖析可能會觸發未定義的行為，這是屬性存取期間缺少 null 檢查所致。此情況可能導致超出邊界讀取存取，並且可能造成記憶體損毀。此弱點會影響 Firefox 138 以前的版本、Firefox ESR 128.10 以前的版本、Thunderbird 138 和 Thunderbird 128.10 以前的版本。(CVE-2025-4087)

Firefox 137、Thunderbird 137、Firefox ESR 128.9 和 Thunderbird 128.9 中存在記憶體安全錯誤。某些錯誤顯示記憶體會遭到損毀，我們推測若有心人士有意操控，可能惡意利用其中部分錯誤執行任意程式碼。此弱點會影響 Firefox 138 以前的版本、Firefox ESR 128.10 以前的版本、Thunderbird 138 和 Thunderbird 128.10 以前的版本。(CVE-2025-4091)

Firefox ESR 128.9 和 Thunderbird 128.9 中存在記憶體安全錯誤。此錯誤顯示記憶體損毀跡象，我們推測若有心人士有意操控，可利用此錯誤來執行任意程式碼。
此弱點會影響 Firefox ESR < 128.10 and Thunderbird < 128.10。(CVE-2025-4093)

Tenable 已直接從所測試產品的安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。