Firefox ESR 24.x < 24.3 多個弱點

critical Nessus Plugin ID 72330

概要

遠端 Windows 主機含有可能受到多個弱點影響的網頁瀏覽器。

說明

安裝的 Firefox ESR 24.x 版比 24.3 舊,因此可能受到下列弱點影響:

- 瀏覽器引擎中存有記憶體問題,可導致拒絕服務或任意程式碼執行。(CVE-2014-1477)

- 存在與 System Only Wrapper (SOW) 和 XML Binding Language (XBL) 相關的錯誤,可允許洩漏 XUL 內容。(CVE-2014-1479)

- 存在與 JavaScript 引擎和 'window' 物件處理相關的錯誤,會造成不明影響。
(CVE-2014-1481)

- 存在與 'RasterImage' 和影像解碼相關的錯誤,可導致應用程式損毀和任意程式碼執行。(CVE-2014-1482)

- 存在與影像處理和 'imgRequestProxy' 相關的釋放後使用錯誤,可導致應用程式損毀和任意程式碼執行。
(CVE-2014-1486)

- 存在與 'web worker' 相關的錯誤,可允許跨來源資訊洩漏。
(CVE-2014-1487)

- 網路安全性服務 (NSS) 的 libssl 中含有工作階段票證處理期間發生的爭用情形。遠端攻擊者可惡意利用此瑕疵,進而引發拒絕服務。(CVE-2014-1490)

- 網路安全性服務 (NSS) 為適當限制 Diffie-Hellman 金鑰交換中的公共值,導致遠端攻擊者繞過密碼編譯保護機制。(CVE-2014-1491)

解決方案

升級至 Firefox ESR 24.3 或更新版本。

另請參閱

http://www.zerodayinitiative.com/advisories/ZDI-14-058/

https://www.mozilla.org/en-US/security/advisories/mfsa2014-01/

https://www.mozilla.org/en-US/security/advisories/mfsa2014-02/

https://www.mozilla.org/en-US/security/advisories/mfsa2014-04/

https://www.mozilla.org/en-US/security/advisories/mfsa2014-08/

https://www.mozilla.org/en-US/security/advisories/mfsa2014-09/

https://www.mozilla.org/en-US/security/advisories/mfsa2014-12/

https://www.mozilla.org/en-US/security/advisories/mfsa2014-13/

Plugin 詳細資訊

嚴重性: Critical

ID: 72330

檔案名稱: mozilla_firefox_24_3_esr.nasl

版本: 1.12

類型: local

代理程式: windows

系列: Windows

已發布: 2014/2/5

已更新: 2019/11/26

支援的感應器: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.7

CVSS v2

風險因素: Critical

基本分數: 10

時間分數: 7.4

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2014-1486

弱點資訊

CPE: cpe:/a:mozilla:firefox_esr

必要的 KB 項目: Mozilla/Firefox/Version

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2014/2/4

弱點發布日期: 2014/2/4

參考資訊

CVE: CVE-2014-1477, CVE-2014-1479, CVE-2014-1481, CVE-2014-1482, CVE-2014-1486, CVE-2014-1487, CVE-2014-1490, CVE-2014-1491

BID: 65317, 65320, 65326, 65328, 65330, 65332, 65334, 65335