Firefox ESR 45.x < 45.2 多個弱點 (Mac OS X)
high Nessus Plugin ID 91544
語系:
概要
遠端 Mac OS X 主機包含一個受到多個弱點影響的網頁瀏覽器。說明
遠端 Mac OS X 主機上安裝的 Firefox ESR 版本為 45.2 之前的 45.x 版。因此,會受到多個弱點影響:- 存有多個會讓未經驗證的遠端攻擊者執行任意程式碼的記憶體損毀問題。(CVE-2016-2818)
- 存在一個溢位情況,其會於在外部內容 (例如在 <svg> 節點之下) 中處理 HTML5 片段時觸發。未經驗證的遠端攻擊者可利用此問題造成堆積型緩衝區溢位,進而執行任意程式碼。
(CVE-2016-2819)
- 存在一個釋放後使用錯誤,其會於在「可編輯內容」模式中刪除 DOM 表格元素時觸發。
未經驗證的遠端攻擊者可加以惡意利用,解除參照已釋放的記憶體,進而導致執行任意程式碼。(CVE-2016-2821)
- 存在一個偽造弱點,這是因為不當處理 SELECT 元素所導致。未經驗證的遠端攻擊者可惡意利用此弱點偽造位址列的內容。(CVE-2016-2822)
- 存在一個釋放後使用錯誤,其會在破壞於處理 WebGL 內容期間使用之紋理的回收集區時觸發。未經驗證的遠端攻擊者可加以惡意利用,解除參照已釋放的記憶體,進而導致執行任意程式碼。
(CVE-2016-2828)
- 存在一個瑕疵,其會在搭配關閉視窗處理配對全螢幕與鎖定指標要求時觸發。未經驗證的遠端攻擊者可惡意利用此瑕疵建立未經授權的鎖定指標,進而導致拒絕服務情形。
此外,攻擊者可惡意利用這點,發動偽造和點擊劫持攻擊。(CVE-2016-2831)
解決方案
升級至 Firefox ESR 45.2 或更新版本。另請參閱
https://www.mozilla.org/en-US/security/advisories/mfsa2016-49/
https://www.mozilla.org/en-US/security/advisories/mfsa2016-50/
https://www.mozilla.org/en-US/security/advisories/mfsa2016-51/
https://www.mozilla.org/en-US/security/advisories/mfsa2016-52/
https://www.mozilla.org/en-US/security/advisories/mfsa2016-56/
https://www.mozilla.org/en-US/security/advisories/mfsa2016-58/
Plugin 詳細資訊
嚴重性: High
ID: 91544
檔案名稱: macosx_firefox_45_2_esr.nasl
版本: 1.9
類型: local
代理程式: macosx
已發布: 2016/6/9
已更新: 2019/11/19
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: High
分數: 8.9
CVSS v2
風險因素: Medium
基本分數: 6.8
時間分數: 5.9
媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
CVSS 評分資料來源: CVE-2016-2828
CVSS v3
風險因素: High
基本分數: 8.8
時間分數: 8.4
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:H/RL:O/RC:C
弱點資訊
CPE: cpe:/a:mozilla:firefox_esr
必要的 KB 項目: MacOSX/Firefox/Installed
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2016/6/7
弱點發布日期: 2016/6/7
參考資訊
CVE: CVE-2016-2818, CVE-2016-2819, CVE-2016-2821, CVE-2016-2822, CVE-2016-2828, CVE-2016-2831
MFSA: 2016-49, 2016-50, 2016-51, 2016-52, 2016-56, 2016-58