Firefox ESR 45.x < 45.2 多個弱點 (Mac OS X)

high Nessus Plugin ID 91544

Synopsis

遠端 Mac OS X 主機包含一個受到多個弱點影響的網頁瀏覽器。

描述

遠端 Mac OS X 主機上安裝的 Firefox ESR 版本為 45.2 之前的 45.x 版。因此,會受到多個弱點影響:

- 存有多個會讓未經驗證的遠端攻擊者執行任意程式碼的記憶體損毀問題。(CVE-2016-2818)

- 存在一個溢位情況,其會於在外部內容 (例如在 <svg> 節點之下) 中處理 HTML5 片段時觸發。未經驗證的遠端攻擊者可利用此問題造成堆積型緩衝區溢位,進而執行任意程式碼。
(CVE-2016-2819)

- 存在一個釋放後使用錯誤,其會於在「可編輯內容」模式中刪除 DOM 表格元素時觸發。
未經驗證的遠端攻擊者可加以惡意利用,解除參照已釋放的記憶體,進而導致執行任意程式碼。(CVE-2016-2821)

- 存在一個偽造弱點,這是因為不當處理 SELECT 元素所導致。未經驗證的遠端攻擊者可惡意利用此弱點偽造位址列的內容。(CVE-2016-2822)

- 存在一個釋放後使用錯誤,其會在破壞於處理 WebGL 內容期間使用之紋理的回收集區時觸發。未經驗證的遠端攻擊者可加以惡意利用,解除參照已釋放的記憶體,進而導致執行任意程式碼。
(CVE-2016-2828)

- 存在一個瑕疵,其會在搭配關閉視窗處理配對全螢幕與鎖定指標要求時觸發。未經驗證的遠端攻擊者可惡意利用此瑕疵建立未經授權的鎖定指標,進而導致拒絕服務情形。
此外,攻擊者可惡意利用這點,發動偽造和點擊劫持攻擊。(CVE-2016-2831)

解決方案

升級至 Firefox ESR 45.2 或更新版本。

另請參閱

https://www.mozilla.org/en-US/security/advisories/mfsa2016-49/

https://www.mozilla.org/en-US/security/advisories/mfsa2016-50/

https://www.mozilla.org/en-US/security/advisories/mfsa2016-51/

https://www.mozilla.org/en-US/security/advisories/mfsa2016-52/

https://www.mozilla.org/en-US/security/advisories/mfsa2016-56/

https://www.mozilla.org/en-US/security/advisories/mfsa2016-58/

Plugin 詳細資訊

嚴重性: High

ID: 91544

檔案名稱: macosx_firefox_45_2_esr.nasl

版本: 1.9

類型: local

代理程式: macosx

已發布: 2016/6/9

已更新: 2019/11/19

支持的傳感器: Nessus Agent

風險資訊

CVSS 評分資料來源: CVE-2016-2828

VPR

風險因素: Critical

分數: 9

CVSS v2

風險因素: Medium

基本分數: 6.8

時間分數: 5.9

媒介: AV:N/AC:M/Au:N/C:P/I:P/A:P

時間媒介: E:H/RL:OF/RC:C

CVSS v3

風險因素: High

基本分數: 8.8

時間分數: 8.4

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

時間媒介: E:H/RL:O/RC:C

弱點資訊

CPE: cpe:/a:mozilla:firefox_esr

必要的 KB 項目: MacOSX/Firefox/Installed

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2016/6/7

弱點發布日期: 2016/6/7

參考資訊

CVE: CVE-2016-2818, CVE-2016-2819, CVE-2016-2821, CVE-2016-2822, CVE-2016-2828, CVE-2016-2831

BID: 91072, 91074, 91075

MFSA: 2016-49, 2016-50, 2016-51, 2016-52, 2016-56, 2016-58