Firefox < 44 多個弱點 (Mac OS X)

critical Nessus Plugin ID 88459
新推出!Plugin 嚴重性目前使用 CVSS v3

計算 Plugin 嚴重性已更新為預設使用 CVSS v3 沒有 CVSS v3 評分的 Plugin 會回歸到以 CVSS v2 計算嚴重性。您可在設定下拉式選單中切換顯示嚴重性的喜好設定

Synopsis

遠端 Mac OS X 主機包含一個受到多個弱點影響的網頁瀏覽器。

描述

遠端 Mac OS X 主機上安裝的 Firefox 版本比 44 版舊。因此受到以下弱點影響:

- 存在一個 Cookie 插入弱點,這是因為將不合法控制字元儲存為 Cookie 值,違反 RFC6265 所導致。遠端攻擊者可惡意利用此弱點插入 Cookie。(CVE-2015-7208)

- 存在多個會讓遠端攻擊者執行任意程式碼的不明記憶體損毀問題。
(CVE-2016-1930、CVE-2016-1931)

- 存在一個整數溢位情形,這是因為在去交錯式過程中不當剖析 GIF 影像所導致。遠端攻擊者可加以惡意利用,透過特製的 GIF 影像,造成拒絕服務情形或是執行任意程式碼。(CVE-2016-1933)

- WebGL 中存在一個緩衝區溢位情形,其會在處理快取記憶體不足錯誤情形時觸發。遠端攻擊者可惡意利用這點,執行任意程式碼。(CVE-2016-1935)

- 存在一個內容偽造弱點,這是因為通訊協定處置程式對話方塊,將按兩下事件視為兩次的按一下事件所導致。遠端攻擊者可惡意利用此偽造內容,讓攻擊者能夠誘騙使用者執行惡意動作。(CVE-2016-1937)

- Network Security Services (NSS) 中存在一個密碼編譯弱點,這是因為「mp_div」及「mp_exptmod」的錯誤計算所導致。(CVE-2016-1938)

- 存在一個 Cookie 插入弱點,這是因為在 Cookie 名稱中允許使用不合法控制字元所導致。遠端攻擊者可惡意利用此弱點插入 Cookie。
(CVE-2016-1939)

- 存在一個 URL 偽造弱點,這是因為一個對內部通訊協定而言無效的 URL,在處理過程中觸發一個瑕疵,造成將 URL 貼到位址列中所導致。遠端攻擊者可惡意利用此偽造 URL,讓攻擊者能夠誘騙使用者造訪惡意網站。(CVE-2016-1942)

- ANGLE 圖庫實作中存在一個不明的記憶體損毀問題。遠端攻擊者可惡意利用此問題損毀記憶體,進而導致任意程式碼執行。(CVE-2016-1944)

- 存在一個環境指標瑕疵,這是因為不當處理 ZIP 檔案所導致。遠端攻擊者可惡意利用此瑕疵,透過特製 ZIP 檔案造成不明影響。
(CVE-2016-1945)

- 隨附的 libstagefright 版本中存在一個整數溢位情形,這是因為不當處理 MP4 檔案詮釋資料所導致。遠端攻擊者可惡意利用這點,執行任意程式碼。(CVE-2016-1946)

- 安全瀏覽功能中存在一個瑕疵,這是因為無法連線至 Application Reputation 服務所導致。遠端攻擊者可以惡意利用此瑕疵,說服使用者在未受警告的情況下下載惡意執行檔。(CVE-2016-1947)

- Network Security Services (NSS) 中存在一個釋放後使用錯誤,這是因為 DHE 和 ECDHE 交握期間不當處理失敗的配置所導致。攻擊者可加以利用,解除參照已釋放的記憶體,進而導致執行任意程式碼。
(CVE-2016-1978)

解決方案

升級至 Firefox 44 或更新版本。

另請參閱

https://www.mozilla.org/en-US/security/advisories/mfsa2016-01/

https://www.mozilla.org/en-US/security/advisories/mfsa2016-02/

https://www.mozilla.org/en-US/security/advisories/mfsa2016-03/

https://www.mozilla.org/en-US/security/advisories/mfsa2016-04/

https://www.mozilla.org/en-US/security/advisories/mfsa2016-06/

https://www.mozilla.org/en-US/security/advisories/mfsa2016-07/

https://www.mozilla.org/en-US/security/advisories/mfsa2016-08/

https://www.mozilla.org/en-US/security/advisories/mfsa2016-09/

https://www.mozilla.org/en-US/security/advisories/mfsa2016-10/

https://www.mozilla.org/en-US/security/advisories/mfsa2016-11/

https://www.mozilla.org/en-US/security/advisories/mfsa2016-15/

Plugin 詳細資訊

嚴重性: Critical

ID: 88459

檔案名稱: macosx_firefox_44.nasl

版本: 1.11

類型: local

代理程式: macosx

已發布: 2016/1/28

已更新: 2019/11/20

相依性: macosx_firefox_installed.nasl

風險資訊

CVSS 評分資料來源: CVE-2016-1946

VPR

風險因素: Medium

分數: 6.5

CVSS v2

風險因素: Critical

基本分數: 10

時間分數: 7.4

媒介: AV:N/AC:L/Au:N/C:C/I:C/A:C

時間媒介: E:U/RL:OF/RC:C

CVSS v3

風險因素: Critical

基本分數: 9.8

時間分數: 8.5

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: E:U/RL:O/RC:C

弱點資訊

CPE: cpe:/a:mozilla:firefox

必要的 KB 項目: MacOSX/Firefox/Installed

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2016/1/26

弱點發布日期: 2015/9/24

參考資訊

CVE: CVE-2015-7208, CVE-2016-1930, CVE-2016-1931, CVE-2016-1933, CVE-2016-1935, CVE-2016-1937, CVE-2016-1938, CVE-2016-1939, CVE-2016-1941, CVE-2016-1942, CVE-2016-1944, CVE-2016-1945, CVE-2016-1946, CVE-2016-1947, CVE-2016-1978

BID: 79280

MFSA: 2016-01, 2016-02, 2016-03, 2016-04, 2016-06, 2016-07, 2016-08, 2016-09, 2016-10, 2016-11, 2016-15