Firefox ESR < 38.3 多個弱點 (Mac OS X)

high Nessus Plugin ID 86068

概要

遠端 Mac OS X 主機包含一個受到多個弱點影響的網頁瀏覽器。

說明

遠端 Mac OS X 主機上安裝的 Firefox ESR 版本為 38.3 之前的版本。因此受到以下弱點影響:

- 存在多個不明記憶體損毀問題,是因不當驗證使用者提供的輸入所導致。遠端攻擊者可惡意利用這些問題,藉此損毀記憶體和執行任意程式碼。(CVE-2015-4500)

- 存在多個不明記憶體損毀問題,是因不當驗證使用者提供的輸入所導致。遠端攻擊者可惡意利用這些問題,藉此損毀記憶體和執行任意程式碼。(CVE-2015-4501)

- 剖析 vp9 格式視訊時,libvpx 元件中存在緩衝區溢位情形。遠端攻擊者可加以惡意利用,透過特製的 vp9 格式視訊來執行任意程式碼。(CVE-2015-4506)

- 在 HTML 媒體元素的 URI 表格指令碼操控期間,於頁面上操控這些元素時發生一個釋放後使用錯誤。攻擊者可加以惡意利用,進而引發拒絕服務情形。
(CVE-2015-4509)

- NetworkUtils.cpp 中存在一個記憶體損毀問題。攻擊者可能惡意利用此問題,進而引發拒絕服務情形或是執行任意程式碼。(CVE-2015-4517)

- 存在一個資訊洩漏弱點,是因先前發生的瑕疵所導致,該瑕疵為在頁面上載入的影像於重新導向後放置到內容中,造成指令碼可使用重新導向的 URL。
(CVE-2015-4519)

- 存在多個安全性繞過弱點,是因處理 CORS 預檢要求標頭時發生的錯誤所導致。(CVE-2015-4520)

- ConvertDialogOptions() 函式中存在一個記憶體損毀問題。攻擊者可能惡意利用此問題,進而引發拒絕服務情形或是執行任意程式碼。
(CVE-2015-4521)

- GetMaxLength() 函式中存在一個溢位情形。攻擊者可加以惡意利用,進而造成拒絕服務情形或是執行任意程式碼。(CVE-2015-4522)

- GrowBy() 函式中存在一個溢位情形。
攻擊者可加以惡意利用,進而造成拒絕服務情形或是執行任意程式碼。(CVE-2015-7174)

- AddText() 函式中存在一個溢位情形。
攻擊者可加以惡意利用,進而造成拒絕服務情形或是執行任意程式碼。(CVE-2015-7175)

- AnimationThread() 函式中存在堆疊溢位情形,是因錯誤的 sscanf 引數所導致。攻擊者可加以惡意利用,進而造成拒絕服務情形或是執行任意程式碼。(CVE-2015-7176)

- InitTextures() 函式中存在一個記憶體損毀問題。攻擊者可能惡意利用此問題,進而引發拒絕服務情形或是執行任意程式碼。(CVE-2015-7177)

- ReadbackResultWriterD3D11::Run 中存在一個記憶體損毀問題,是因錯誤處理傳回狀態所導致。攻擊者可能惡意利用此問題,進而引發拒絕服務情形或是執行任意程式碼。(CVE-2015-7180)

解決方案

升級至 Firefox ESR 38.3 或更新版本。

另請參閱

https://www.mozilla.org/en-US/security/advisories/mfsa2015-96/

https://www.mozilla.org/en-US/security/advisories/mfsa2015-101/

https://www.mozilla.org/en-US/security/advisories/mfsa2015-105/

https://www.mozilla.org/en-US/security/advisories/mfsa2015-106/

https://www.mozilla.org/en-US/security/advisories/mfsa2015-110/

https://www.mozilla.org/en-US/security/advisories/mfsa2015-111/

https://www.mozilla.org/en-US/security/advisories/mfsa2015-112/

Plugin 詳細資訊

嚴重性: High

ID: 86068

檔案名稱: macosx_firefox_38_3_esr.nasl

版本: 1.8

類型: local

代理程式: macosx

已發布: 2015/9/22

已更新: 2019/11/20

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: High

基本分數: 7.5

時間分數: 5.5

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 評分資料來源: CVE-2015-7180

弱點資訊

CPE: cpe:/a:mozilla:firefox_esr

必要的 KB 項目: MacOSX/Firefox/Installed

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2015/9/22

弱點發布日期: 2015/9/22

參考資訊

CVE: CVE-2015-4500, CVE-2015-4501, CVE-2015-4506, CVE-2015-4509, CVE-2015-4517, CVE-2015-4519, CVE-2015-4520, CVE-2015-4521, CVE-2015-4522, CVE-2015-7174, CVE-2015-7175, CVE-2015-7176, CVE-2015-7177, CVE-2015-7180