偵測

Amazon Linux 2023:firefox (ALAS2023-2025-1171)

low Nessus Plugin ID 261736

語言:

概要

遠端 Amazon Linux 2023 主機缺少一個安全性更新。

說明

因此,會受到 ALAS2023-2025-1171 公告中所提及的多個弱點影響。

 Mozilla neqo 中的不當輸入驗證弱點會導致無法利用的當機。。此問題對 neqo: 的影響範圍為 0.4.24 到 0.13.2。 (CVE-2025-6703)

 攻擊者可在處理加密媒體的 GMP 處理程序中執行記憶體損毀。該處理程序雖然也受到嚴格沙箱保護,但其所代表的特權與內容處理程序略有不同。
 此弱點會影響 Firefox < 142、Firefox ESR < 115.27、Firefox ESR < 128.14、Firefox ESR < 140.2、Thunderbird < 142、Thunderbird < 128.14和 Thunderbird < 140.2。 (CVE-2025-9179)

 「GraphicsCanvas2D 元件中的同源原則繞過。」此弱點會影響 Firefox < 142、Firefox ESR < 115.27、Firefox ESR < 128.14、Firefox ESR < 140.2、Thunderbird < 142、Thunderbird < 128.14和 Thunderbird < 140.2。 (CVE-2025-9180)

 JavaScript Engine 元件中存有未初始化的記憶體。此弱點會影響 Firefox < 142、Firefox ESR < 128.14、Firefox ESR < 140.2、Thunderbird < 142、Thunderbird < 128.14和 Thunderbird < 140.2。
 (CVE-2025-9181)

 「Graphics: WebRender 元件中記憶體不足導致的拒絕服務。」此弱點會影響 Firefox < 142、Firefox ESR < 140.2、Thunderbird < 142 和 Thunderbird < 140.2。 (CVE-2025-9182)

 位址列元件中的偽造問題。此弱點會影響 Firefox < 142 和 Firefox ESR < 140.2。 (CVE-2025-9183)

 Firefox ESR 140.1、Thunderbird ESR 140.1、Firefox 141 和 Thunderbird 141 中存在記憶體安全性錯誤。
 某些錯誤顯示記憶體會遭到損毀,我們推測若有心人士有意操控,可能惡意利用其中部分錯誤執行任意程式碼。此弱點會影響 Firefox < 142、Firefox ESR < 140.2、Thunderbird < 142 和 Thunderbird < 140.2。 (CVE-2025-9184)

 Firefox ESR 115.26、Firefox ESR 128.13、Thunderbird ESR 128.13、Firefox ESR 140.1、Thunderbird ESR 140.1、Firefox 141 和 Thunderbird 141 中存在記憶體安全性錯誤。某些錯誤顯示記憶體會遭到損毀,我們推測若有心人士有意操控,可能惡意利用其中部分錯誤執行任意程式碼。此弱點會影響 Firefox < 142、Firefox ESR < 115.27、Firefox ESR < 128.14、Firefox ESR < 140.2、Thunderbird < 142、Thunderbird < 128.14和 Thunderbird < 140.2。 (CVE-2025-9185)

Tenable 已直接從所測試產品的安全公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

執行「dnf update firefox --releasever 2023.8.20250908」或 或「dnf update --advisory ALAS2023-2025-1171 --releasever 2023.8.20250908」以更新系統。

另請參閱

https://alas.aws.amazon.com//AL2023/ALAS2023-2025-1171.html

https://alas.aws.amazon.com/faqs.html

https://explore.alas.aws.amazon.com/CVE-2025-6703.html

https://explore.alas.aws.amazon.com/CVE-2025-9179.html

https://explore.alas.aws.amazon.com/CVE-2025-9180.html

https://explore.alas.aws.amazon.com/CVE-2025-9181.html

https://explore.alas.aws.amazon.com/CVE-2025-9182.html

https://explore.alas.aws.amazon.com/CVE-2025-9183.html

https://explore.alas.aws.amazon.com/CVE-2025-9184.html

https://explore.alas.aws.amazon.com/CVE-2025-9185.html

Plugin 詳細資訊

嚴重性: Low

ID: 261736

檔案名稱: al2023_ALAS2023-2025-1171.nasl

版本: 1.1

類型: local

代理程式: unix

已發布: 2025/9/8

已更新: 2025/9/8

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.7

CVSS v2

風險因素: High

基本分數: 7.6

時間性分數: 5.6

媒介: CVSS2#AV:N/AC:H/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2025-9185

CVSS v3

風險因素: High

基本分數: 8.1

時間性分數: 7.1

媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

CVSS v4

風險因素: Low

Base Score: 2.3

Threat Score: 0.6

Threat Vector: CVSS:4.0/E:U

Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:N/VI:N/VA:L/SC:N/SI:N/SA:L

CVSS 評分資料來源: CVE-2025-6703

弱點資訊

CPE: cpe:/o:amazon:linux:2023, p-cpe:/a:amazon:linux:firefox, p-cpe:/a:amazon:linux:firefox-debugsource, p-cpe:/a:amazon:linux:firefox-debuginfo

必要的 KB 項目: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2025/9/8

弱點發布日期: 2025/6/26

參考資訊

CVE: CVE-2025-6703, CVE-2025-9179, CVE-2025-9180, CVE-2025-9181, CVE-2025-9182, CVE-2025-9183, CVE-2025-9184, CVE-2025-9185

IAVA: 2025-A-0621