Firefox < 34.0 多個弱點

high Nessus Plugin ID 79665

語系：

概要

遠端 Windows 主機包含一個受到多個弱點影響的網頁瀏覽器。

說明

遠端 Windows 主機上安裝的 Firefox 版本比 34.0 版舊。因此受到以下弱點影響：

- 存有一個因「XrayWrappers」篩選未正確驗證物件內容而引起的安全性繞過弱點。這會讓遠端攻擊者繞過安全性保護機制，進而存取受保護的物件。(CVE-2014-8631)

- 存有一個因將 Chrome Object Wrappers (COW) 做為原生介面繞過而引起的安全性繞過弱點。
這會允許遠端攻擊者存取一般應受到保護的物件。(CVE-2014-8632)

- 由於在解碼 ASN.1 DER 期間，處理 PKCS#1 簽章時觸發「quickder.c」中的一個瑕疵，因而使 Mozilla Network Security Services (NSS) 出現一個遠端程式碼執行弱點。
(CVE-2014-1569)

- 瀏覽器引擎中存有多個記憶體安全瑕疵。透過惡意利用這些瑕疵，攻擊者可能引發拒絕服務或執行任意程式碼。(CVE-2014-1587、CVE-2014-1588)

- 因為不當宣告可供 chrome 存取的 CSS 主要命名空間，而產生一個安全性繞過弱點，會導致從遠端觸發 XML Binding Language (XBL) 繫結。(CVE-2014-1589)

- 存有一個因不當剖析 JavaScript 物件到 XMLHttpRequest API 而造成的拒絕服務弱點，這可能會導致當機。
(CVE-2014-1590)

- 因為重新導向觸發的內容安全性原則 (CSP) 違反報告未正確移除路徑資訊，而產生一個資訊洩漏弱點，這可能會洩漏敏感資訊。
請注意，受此問題影響的只有 Firefox 33。(CVE-2014-1591)

- 剖析寫入至以「document.open()」函式建立之文件的 HTML 時，因建立第二個 XML root 元素而出現一個釋放後使用錯誤，這可能會導致任意程式碼執行。(CVE-2014-1592)

- 剖析媒體時，「mozilla::FileBlockCache::Read」函式中存有一個緩衝區溢位弱點，可能會導致任意程式碼執行。
(CVE-2014-1593)

- 從「BasicThebesLayer」層轉換到「BasicContainerLayer」層時，出現一個轉換錯誤，這可能會導致任意程式碼執行。
(CVE-2014-1594)