Firefox < 37.0 多個弱點 (Mac OS X)

high Nessus Plugin ID 82500

語系：

概要

遠端 Mac OS X 主機包含一個受到多個弱點影響的網頁瀏覽器。

描述

遠端 Mac OS X 主機上安裝的 Firefox 版本比 37.0 版舊。因此受到以下弱點影響：

- 存在一個與錨點導覽相關的權限提升弱點。遠端攻擊者可加以惡意利用，藉此繞過同源原則保護，從而可能在有權限的內容中執行任意指令碼。請注意，這是 CVE-2015-0818 的變體，且已在 Firefox 36.0.4 中修正。
(CVE-2015-0801)

- 在從包含有權限的 UI 內容視窗導覽至無權限頁面時，會保留需要權限之特定內部方法的存取權。攻擊者可能加以惡意利用，以提升的權限執行任意 JavaScript。(CVE-2015-0802)

- 存在多個類型混淆問題，這可導致釋放後使用錯誤，讓遠端攻擊者加以惡意利用，執行任意程式碼或造成拒絕服務。(CVE-2015-0803、CVE-2015-0804)

- 轉譯 2D 圖形時存在多個與 Off Main Thread Compositing 相關的記憶體損毀問題，這會讓遠端攻擊者得以惡意利用，執行任意程式碼或造成拒絕服務。(CVE-2015-0805、CVE-2015-0806)

- sendBeacon() 函式中存在一個跨網站要求偽造 (XSRF) 弱點，這是因為依循 30x 重新導向的跨來源資源共用 (CORS) 要求所致。(CVE-2015-0807)

- WebRTC 中存在一個與簡易樣式陣列記憶體管理相關的問題，遠端攻擊者可能會藉此造成拒絕服務。(CVE-2015-0808)

- 存在一個問題，其允許遠端攻擊者隱藏使用者的游標，可能導致成功發動點擊劫持攻擊。(CVE-2015-0810)

- QCMS 色彩管理程式庫中存在一個超出邊界讀取問題，這可導致資訊洩漏。(CVE-2015-0811)

- 有個問題可讓攔截式攻擊者偽造 Mozilla 子網域，藉此繞過使用者確認並安裝 Firefox 輕量型主題。(CVE-2015-0812)

- 瀏覽器引擎中存在多個記憶體安全性問題。遠端攻擊者可能加以惡意利用，使記憶體損毀並可能執行任意程式碼。
(CVE-2015-0814、CVE-2015-0815)

- 存在一個與透過「resource:」URL 載入之文件相關的權限提升弱點。攻擊者可能加以惡意利用，透過提升的權限載入頁面並執行 JavaScript。(CVE-2015-0816)