Firefox < 22.0 多個弱點 (Mac OS X)
critical Nessus Plugin ID 66989
語系:
概要
遠端 Mac OS X 主機含有可能受到多個弱點影響的網頁瀏覽器。描述
安裝的 Firefox 版本比 22.0 舊,因此可能會受到多個弱點影響:- 存在多個不明的記憶體安全問題。
(CVE-2013-1682、CVE-2013-1683)
- 存在與 'LookupMediaElementURITable'、'nsIDocument::GetRootElement' 和 'mozilla::ResetDir' 相關的堆積釋放後使用錯誤。
(CVE-2013-1684、CVE-2013-1685、CVE-2013-1686)
- 存在一個與 'XBL scope'、'System Only Wrappers' (SOW),以及 Chrome 權限頁面相關的錯誤,可允許跨網站指令碼攻擊。(CVE-2013-1687)
- 存在與 'profiler' 相關的錯誤,可允許任意程式碼執行。(CVE-2013-1688)
- 存在與 'onreadystatechange' 相關的錯誤,而且未對應的記憶體可導致應用程式損毀並允許任意程式碼執行。(CVE-2013-1690)
- 應用程式會在 XMLHttpRequest (XHR) HEAD 要求的內文中傳送資料,而且可協助跨網站要求偽造攻擊。(CVE-2013-1692)
- 與處理 SVG 內容相關的錯誤可允許定時攻擊跨網域洩漏資訊。(CVE-2013-1693)
- 存在與 'PreserveWrapper' 和 'preserved-wrapper' 旗標相關的錯誤,可能造成可遭惡意利用的應用程式損毀。(CVE-2013-1694)
- 存在與 '<iframe sandbox>' 限制相關的錯誤,可允許繞過這些限制。(CVE-2013-1695)
- 'X-Frame-Options' 標頭在某些情況下會遭到忽略,而且可以協助點擊劫持攻擊。
(CVE-2013-1696)
- 存在與 'toString' 和 'valueOf' 方法相關的錯誤,可允許繞過 'XrayWrappers'。
(CVE-2013-1697)
- 存在與 'getUserMedia' 權限對話方塊相關的錯誤,可讓使用者遭誘騙而提供非預期網域的存取權。
(CVE-2013-1698)
- 偽裝網域偽造防護不完整,因此某些攻擊仍然可以使用 Internationalized Domain Names (IDN)。(CVE-2013-1699)
解決方案
升級至 Firefox 22.0 或更新版本。另請參閱
https://www.mozilla.org/en-US/security/advisories/mfsa2013-49/
https://www.mozilla.org/en-US/security/advisories/mfsa2013-50/
https://www.mozilla.org/en-US/security/advisories/mfsa2013-51/
https://www.mozilla.org/en-US/security/advisories/mfsa2013-52/
https://www.mozilla.org/en-US/security/advisories/mfsa2013-53/
https://www.mozilla.org/en-US/security/advisories/mfsa2013-54/
https://www.mozilla.org/en-US/security/advisories/mfsa2013-55/
https://www.mozilla.org/en-US/security/advisories/mfsa2013-56/
https://www.mozilla.org/en-US/security/advisories/mfsa2013-57/
https://www.mozilla.org/en-US/security/advisories/mfsa2013-58/
https://www.mozilla.org/en-US/security/advisories/mfsa2013-59/
https://www.mozilla.org/en-US/security/advisories/mfsa2013-60/
https://www.mozilla.org/en-US/security/advisories/mfsa2013-61/
Plugin 詳細資訊
嚴重性: Critical
ID: 66989
檔案名稱: macosx_firefox_22.nasl
版本: 1.15
類型: local
代理程式: macosx
發布日期: 2013/6/26
更新日期: 2022/3/29
支援的感應器: Nessus Agent
風險資訊
VPR
風險因素: Critical
分數: 9.6
CVSS v2
風險因素: Critical
基本分數: 10
時間分數: 8.7
媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
時間媒介: CVSS2#E:H/RL:OF/RC:C
CVSS 評分資料來源: CVE-2013-1686
弱點資訊
CPE: cpe:/a:mozilla:firefox
必要的 KB 項目: MacOSX/Firefox/Installed
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2013/6/25
弱點發布日期: 2013/6/25
CISA 已知利用日期: 2022/4/18
惡意利用途徑
Metasploit (Firefox onreadystatechange Event DocumentViewerImpl Use After Free)
參考資訊
CVE: CVE-2013-1682, CVE-2013-1683, CVE-2013-1684, CVE-2013-1685, CVE-2013-1686, CVE-2013-1687, CVE-2013-1688, CVE-2013-1690, CVE-2013-1692, CVE-2013-1693, CVE-2013-1694, CVE-2013-1695, CVE-2013-1696, CVE-2013-1697, CVE-2013-1698, CVE-2013-1699
BID: 60765, 60766, 60768, 60773, 60774, 60776, 60777, 60778, 60779, 60783, 60784, 60785, 60787, 60788, 60789, 60790