Firefox < 10.0 多個弱點
high Nessus Plugin ID 57768
語系:
概要
遠端 Windows 主機含有可能受到數個弱點影響的網頁瀏覽器。描述
安裝的 Firefox 版本比 10.0 舊。因此,可能會受以下安全性問題影響:- 存在一個與移除 nsDOMAttribute 子節點有關的釋放後使用錯誤。(CVE-2011-3659)
- 存在多個記憶體安全問題。(CVE-2012-0442、CVE-2012-0443)
- 存在與 Ogg Vorbis 檔案解碼和處理格式錯誤之 XSLT 樣式表相關的記憶體損毀錯誤。(CVE-2012-0444、CVE-2012-0449)
- 允許攻擊者替換另一個網域文件中的子框架,透過這種方式即可違反 HTML5 框架導覽原則。(CVE-2012-0445)
- 框架中的指令碼能夠繞過 XPConnect 中的安全性限制。此繞過會使惡意網站執行跨網站指令碼攻擊。(CVE-2012-0446)
- 對圖示影像進行編碼時,如果將未初始化的記憶體當做填補使用,則會存在資訊洩漏問題。(CVE-2012-0447)
解決方案
升級至 Firefox 10.0 或更新版本。另請參閱
https://www.zerodayinitiative.com/advisories/ZDI-12-059/
http://www.zerodayinitiative.com/advisories/ZDI-12-110/
http://dev.w3.org/html5/spec/browsers.html#security-nav
https://www.mozilla.org/en-US/security/advisories/mfsa2012-01/
https://www.mozilla.org/en-US/security/advisories/mfsa2012-03/
https://www.mozilla.org/en-US/security/advisories/mfsa2012-04/
https://www.mozilla.org/en-US/security/advisories/mfsa2012-05/
https://www.mozilla.org/en-US/security/advisories/mfsa2012-06/
https://www.mozilla.org/en-US/security/advisories/mfsa2012-07/
https://www.mozilla.org/en-US/security/advisories/mfsa2012-08/
Plugin 詳細資訊
嚴重性: High
ID: 57768
檔案名稱: mozilla_firefox_100.nasl
版本: 1.24
類型: local
代理程式: windows
系列: Windows
發布日期: 2012/2/1
更新日期: 2018/11/15
支援的感應器: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent
風險資訊
VPR
風險因素: Critical
分數: 9.0
CVSS v2
風險因素: High
基本分數: 9.3
時間分數: 8.1
媒介: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
時間媒介: CVSS2#E:H/RL:OF/RC:C
弱點資訊
CPE: cpe:/a:mozilla:firefox
必要的 KB 項目: Mozilla/Firefox/Version
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2012/1/31
弱點發布日期: 2012/1/31
惡意利用途徑
CANVAS (White_Phosphorus)
Metasploit (Firefox 8/9 AttributeChildRemoved() Use-After-Free)
參考資訊
CVE: CVE-2011-3659, CVE-2012-0442, CVE-2012-0443, CVE-2012-0444, CVE-2012-0445, CVE-2012-0446, CVE-2012-0447, CVE-2012-0449