Firefox < 27.0 多個弱點

critical Nessus Plugin ID 72331

Synopsis

遠端 Windows 主機含有可能受到多個弱點影響的網頁瀏覽器。

描述

安裝的 Firefox 版本比 27.0 舊,因此可能會受到以下弱點影響:

- 瀏覽器引擎中存有記憶體問題,可導致拒絕服務或任意程式碼執行。(CVE-2014-1477、CVE-2014-1478)

- 存在與 System Only Wrapper (SOW) 和 XML Binding Language (XBL) 相關的錯誤,可允許洩漏 XUL 內容。(CVE-2014-1479)

- 存在與 [開啟檔案] 對話方塊相關的錯誤,可允許使用者採取非預期的行動。
(CVE-2014-1480)

- 存在與 JavaScript 引擎和 'window' 物件處理相關的錯誤,會造成不明影響。
(CVE-2014-1481)

- 存在與 'RasterImage' 和影像解碼相關的錯誤,可導致應用程式損毀和任意程式碼執行。(CVE-2014-1482)

- 存在與 IFrame、'document.caretPositionFromPoint' 和 'document.elementFromPoint' 相關的錯誤,可允許跨來源資訊洩漏。(CVE-2014-1483)

- 存在與內容安全性原則 (CSP) 和 XSLT 樣式表相關的錯誤,可允許非預期的指令碼執行。(CVE-2014-1485)

- 存在與影像處理和 'imgRequestProxy' 相關的釋放後使用錯誤,可導致應用程式損毀和任意程式碼執行。
(CVE-2014-1486)

- 存在與 'web worker' 相關的錯誤,可允許跨來源資訊洩漏。
(CVE-2014-1487)

- 存在與 'web worker' 和 'asm.js' 相關的錯誤,可導致應用程式損毀和任意程式碼執行。(CVE-2014-1488)

- 存在一個錯誤,該錯誤可允許網頁從 'about:home' 頁面 (可導致資料缺乏) 存取啟動內容。(CVE-2014-1489)

- 網路安全性服務 (NSS) 的 libssl 中含有工作階段票證處理期間發生的爭用情形。遠端攻擊者可惡意利用此瑕疵,進而引發拒絕服務。(CVE-2014-1490)

- 網路安全性服務 (NSS) 為適當限制 Diffie-Hellman 金鑰交換中的公共值,導致遠端攻擊者繞過密碼編譯保護機制。(CVE-2014-1491)

解決方案

升級至 Firefox 27.0 或更新版本。

另請參閱

http://www.zerodayinitiative.com/advisories/ZDI-14-058/

https://www.mozilla.org/en-US/security/advisories/mfsa2014-01/

https://www.mozilla.org/en-US/security/advisories/mfsa2014-02/

https://www.mozilla.org/en-US/security/advisories/mfsa2014-03/

https://www.mozilla.org/en-US/security/advisories/mfsa2014-04/

https://www.mozilla.org/en-US/security/advisories/mfsa2014-05/

https://www.mozilla.org/en-US/security/advisories/mfsa2014-07/

https://www.mozilla.org/en-US/security/advisories/mfsa2014-08/

https://www.mozilla.org/en-US/security/advisories/mfsa2014-09/

https://www.mozilla.org/en-US/security/advisories/mfsa2014-10/

https://www.mozilla.org/en-US/security/advisories/mfsa2014-11/

https://www.mozilla.org/en-US/security/advisories/mfsa2014-12/

https://www.mozilla.org/en-US/security/advisories/mfsa2014-13/

Plugin 詳細資訊

嚴重性: Critical

ID: 72331

檔案名稱: mozilla_firefox_27.nasl

版本: 1.11

類型: local

代理程式: windows

系列: Windows

已發布: 2014/2/5

已更新: 2019/11/26

支持的傳感器: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: Critical

基本分數: 10

時間分數: 7.4

媒介: AV:N/AC:L/Au:N/C:C/I:C/A:C

時間媒介: E:U/RL:OF/RC:C

CVSS 評分資料來源: CVE-2014-1488

弱點資訊

CPE: cpe:/a:mozilla:firefox

必要的 KB 項目: Mozilla/Firefox/Version

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2014/2/4

弱點發布日期: 2014/2/4

參考資訊

CVE: CVE-2014-1477, CVE-2014-1478, CVE-2014-1479, CVE-2014-1480, CVE-2014-1481, CVE-2014-1482, CVE-2014-1483, CVE-2014-1485, CVE-2014-1486, CVE-2014-1487, CVE-2014-1488, CVE-2014-1489, CVE-2014-1490, CVE-2014-1491

BID: 65316, 65317, 65320, 65321, 65322, 65324, 65326, 65328, 65329, 65330, 65331, 65332, 65334, 65335