Firefox < 22.0 多种漏洞

critical Nessus 插件 ID 66993

简介

远程 Windows 主机包含可能受多种漏洞影响的 Web 浏览器。

描述

安装的 Firefox 版本低于 22.0,因此可能受到以下漏洞的影响:

- 存在各种不明的内存安全问题。
(CVE-2013-1682、CVE-2013-1683)

- 存在与“LookupMediaElementURITable”、“nsIDocument::GetRootElement”及“mozilla::ResetDir”相关的释放后使用堆内存错误。
(CVE-2013-1684、CVE-2013-1685、CVE-2013-1686)

- 存在与“XBL scope”、“System Only Wrappers”(SOW) 及 chrome 权限页面相关的错误,可导致跨站脚本攻击。(CVE-2013-1687)

- 存在与“profiler”相关的错误,可导致任意代码执行。(CVE-2013-1688)

- 与“onreadystatechange”及未映射内存相关的错误可导致应用程序崩溃,并且允许任意代码执行。(CVE-2013-1690)

- 应用程序发送 XMLHttpRequest (XHR) HEAD 请求正文中的数据,可帮助执行跨站请求伪造攻击。(CVE-2013-1692)

- 与 SVG 内容处理相关的错误可导致时序攻击,从而跨域泄露信息。(CVE-2013-1693)

- 存在与“PreserveWrapper”及“preserved-wrapper”标记相关的错误,可导致潜在可利用的应用程序崩溃。(CVE-2013-1694)

- 存在与“<iframe sandbox>”限制相关的错误,可导致绕过这些限制。(CVE-2013-1695)

- 在某些情况下会忽略“X-Frame-Options”标头,可帮助点击劫持攻击。
(CVE-2013-1696)

- 存在与“toString”及“valueOf”方法相关的错误,可导致绕过“XrayWrappers”。
(CVE-2013-1697)

- 存在与“getUserMedia”权限对话相关的错误,可导致用户受到诱骗提供对非预期域的访问权限。
(CVE-2013-1698)

- 伪装域欺骗保护不完整,某些攻击仍可能使用国际化域名 (IDN)。(CVE-2013-1699)

- Windows 上存在与“Mozilla 维护服务”相关的错误,可允许不安全的更新。
(CVE-2013-1700)

解决方案

升级到 Firefox 22.0 或更高版本。

另见

https://www.mozilla.org/en-US/security/advisories/mfsa2013-49/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-50/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-51/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-52/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-53/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-54/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-55/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-56/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-57/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-58/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-59/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-60/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-61/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-62/

插件详情

严重性: Critical

ID: 66993

文件名: mozilla_firefox_22.nasl

版本: 1.14

类型: local

代理: windows

系列: Windows

发布时间: 2013/6/26

最近更新时间: 2022/3/29

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

风险信息

VPR

风险因素: Critical

分数: 9.5

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 8.7

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2013-1686

漏洞信息

CPE: cpe:/a:mozilla:firefox

必需的 KB 项: Mozilla/Firefox/Version

可利用: true

易利用性: Exploits are available

补丁发布日期: 2013/6/25

漏洞发布日期: 2013/6/25

CISA 已知可遭利用的漏洞到期日期: 2022/4/18

可利用的方式

Metasploit (Firefox onreadystatechange Event DocumentViewerImpl Use After Free)

参考资料信息

CVE: CVE-2013-1682, CVE-2013-1683, CVE-2013-1684, CVE-2013-1685, CVE-2013-1686, CVE-2013-1687, CVE-2013-1688, CVE-2013-1690, CVE-2013-1692, CVE-2013-1693, CVE-2013-1694, CVE-2013-1695, CVE-2013-1696, CVE-2013-1697, CVE-2013-1698, CVE-2013-1699, CVE-2013-1700

BID: 60688, 60765, 60766, 60768, 60773, 60774, 60776, 60777, 60778, 60779, 60783, 60784, 60785, 60787, 60789, 60790, 60791

CWE: 20, 442, 629, 711, 712, 722, 725, 74, 750, 751, 79, 800, 801, 809, 811, 864, 900, 928, 931, 990