Firefox < 15.0 多個弱點

critical Nessus Plugin ID 61715
新推出!弱點優先順序評分 (VPR)

Tenable 會為每個弱點計算動態 VPR。VPR 將弱點資訊與威脅情報和機器學習演算法加以結合,藉此預測攻擊者最有可能利用哪些弱點發動攻擊。查看詳細資訊: VPR 是什麼?它跟 CVSS 有何不同?

VPR 評分: 6.7

Synopsis

遠端 Windows 主機包含一個受到多個弱點影響的網頁瀏覽器。

描述

安裝的 Firefox 版本比 15.0 舊。因此,可能會受以下安全性問題影響:

- 存在一個與 'Object.defineProperty' 和位置物件相關的錯誤,可允許跨網站指令碼攻擊。(CVE-2012-1956)

- 存在不明的記憶體安全性問題。(CVE-2012-1970、CVE-2012-1971)

- 存在多個釋放後使用錯誤。(CVE-2012-1972、CVE-2012-1973、CVE-2012-1974、CVE-2012-1975、CVE-2012-1976、CVE-2012-3956、CVE-2012-3957、CVE-2012-3958、CVE-2012-3959、CVE-2012-3960、CVE-2012-3961、CVE-2012-3962、CVE-2012-3963、CVE-2012-3964)

- 存在一個與「about:newtab」和瀏覽器歷程記錄相關的錯誤。此錯誤可允許新開啟的索引標籤進一步開啟新視窗,並導覽至具權限的「about:newtab」頁面,進而可能導致權限提升。(CVE-2012-3965)

- 存在與點陣圖 (BMP) 和圖示 (ICO) 檔案解碼相關的錯誤,可導致記憶體損毀,進而造成應用程式損毀,並可能執行任意程式碼。(CVE-2012-3966)

- 存在與 WebGL 著色器相關的釋放後使用錯誤。
(CVE-2012-3968)

- 存在與 SVG 篩選相關的緩衝區溢位。
(CVE-2012-3969)

- 存在與具有「requiredFeatures」屬性之元素相關的釋放後使用錯誤。(CVE-2012-3970)

- 存在「Graphite 2」程式庫記憶體損毀錯誤。
(CVE-2012-3971)

- 存在一個與「格式化數字」相關的 XSLT 超出邊界讀取錯誤。(CVE-2012-3972)

- 即使停用了遠端除錯,且已啟用「HTTPMonitor」延伸模組,仍可能進行遠端除錯。(CVE-2012-3973)

- 安裝程式可能會遭誘騙而執行未經授權的可執行項目。(CVE-2012-3974)

- DOM 剖析器可在延伸模組中意外載入連結的資源。(CVE-2012-3975)

- 兩個「onLocationChange」事件以錯誤的順序觸發時,不正確的 SSL 憑證資訊可能顯示在位址列中。(CVE-2012-3976)

- 如果執行對瀏覽器 chrome 程式碼的特製呼叫,可能繞過與位置物件相關的安全性檢查。(CVE-2012-3978)

- 呼叫 web 主控台中的「eval」可能允許以瀏覽器 chrome 權限執行插入的程式碼。
(CVE-2012-3980)

- SPDY 的要求標頭壓縮會導致資訊洩漏,而可能允許擷取工作階段 Cookie 等私人資料,即使透過 SSL 連線也是如此。
(CVE-2012-4930)

解決方案

升級至 Firefox 15.0 或更新版本。

另請參閱

http://www.securityfocus.com/archive/1/524145/30/0/threaded

https://www.mozilla.org/en-US/security/advisories/mfsa2012-57/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-58/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-59/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-60/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-61/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-62/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-63/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-64/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-65/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-66/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-67/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-68/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-69/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-70/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-72/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-73/

Plugin 詳細資訊

嚴重性: Critical

ID: 61715

檔案名稱: mozilla_firefox_150.nasl

版本: 1.20

類型: local

代理程式: windows

系列: Windows

已發布: 2012/8/29

已更新: 2019/12/4

相依性: mozilla_org_installed.nasl

風險資訊

風險因素: Critical

VPR 評分: 6.7

CVSS 評分資料來源: CVE-2012-3971

CVSS v2.0

基本分數: 10

時間分數: 7.4

媒介: AV:N/AC:L/Au:N/C:C/I:C/A:C

時間媒介: E:U/RL:OF/RC:C

弱點資訊

CPE: cpe:/a:mozilla:firefox

必要的 KB 項目: Mozilla/Firefox/Version

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2012/8/28

弱點發布日期: 2012/8/28

參考資訊

CVE: CVE-2012-1956, CVE-2012-1970, CVE-2012-1971, CVE-2012-1972, CVE-2012-1973, CVE-2012-1974, CVE-2012-1975, CVE-2012-1976, CVE-2012-3956, CVE-2012-3957, CVE-2012-3958, CVE-2012-3959, CVE-2012-3960, CVE-2012-3961, CVE-2012-3962, CVE-2012-3963, CVE-2012-3964, CVE-2012-3965, CVE-2012-3966, CVE-2012-3968, CVE-2012-3969, CVE-2012-3970, CVE-2012-3971, CVE-2012-3972, CVE-2012-3973, CVE-2012-3974, CVE-2012-3975, CVE-2012-3976, CVE-2012-3978, CVE-2012-3980, CVE-2012-4930

BID: 55249, 55256, 55257, 55260, 55264, 55266, 55274, 55276, 55278, 55292, 55304, 55306, 55308, 55310, 55311, 55312, 55313, 55314, 55316, 55317, 55318, 55319, 55320, 55321, 55322, 55323, 55324, 55325, 55340, 55341, 55342

CWE: 20, 74, 79, 442, 629, 711, 712, 722, 725, 750, 751, 800, 801, 809, 811, 864, 900, 928, 931, 990