遠端 Debian 11 主機上安裝的多個套件受到 dsa-5322 公告中提及的多個弱點影響。

  - 過時的程式庫 (libusrsctp) 含有可能遭到惡意利用的弱點。此弱點會影響 Firefox < 108。(CVE-2022-46871)

  - 透過混淆瀏覽器，可延遲或隱藏全螢幕通知，進而可能導致使用者混淆或偽造攻擊。此弱點會影響 Firefox < 108。(CVE-2022-46877)

  - 由於 Firefox GTK 包裝函式程式碼針對拖曳資料使用文字/純文字，且 GTK 將所有含有檔案 URL 的文字/純文字 MIME 視為遭拖曳，因此網站可透過呼叫 <code>DataTransfer.setData</code> 來任意讀取檔案。(CVE-2023-23598)

  - 將 URL 從跨來源 iframe 拖曳到同一個索引標籤時允許導覽，這可導致網站偽造攻擊 (CVE-2023-23601)

  - 在 WebWorker 中建立 WebSocket 時未正確處理安全性檢查，導致內容安全性原則 connect-src 標頭遭到忽略。這可導致從 WebWorker 內部連線至受限制的來源。(CVE-2023-23602)

  - 用於從 <code>console.log</code> 呼叫中的樣式指示詞篩選出禁止的內容和值的規則運算式並未考慮外部 URL，可能會因此從瀏覽器洩漏資料。(CVE-2023-23603)

  - Mozilla 開發人員和 Mozilla Fuzzing 團隊報告 Firefox 108 和 Firefox ESR 102.6 中存在記憶體安全錯誤。其中某些錯誤顯示記憶體遭到損毀，我們推測若有心人士有意操控，可能利用其中部分錯誤執行任意程式碼。(CVE-2023-23605)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

偵測

Debian DSA-5322-1：firefox-esr - 安全性更新

high Nessus Plugin ID 170157

版本 1.3