Amazon Linux 2：firefox (ALASFIREFOX-2023-008)

critical Nessus 插件 ID 181977

语言：

简介

远程 Amazon Linux 2 主机缺少安全更新。

描述

远程主机上安装的 Firefox 版本低于 102.6.0-1。因此，它受到 ALAS2FIREFOX-2023-008 公告中提及的多个漏洞影响。

- 危害内容进程的攻击者可通过与剪贴板相关的 IPC 消息部分转义沙盒以读取任意文件。<br>*此缺陷仅影响 Linux 系统上的 Thunderbird。其他操作系统不受影响。* 此漏洞会影响 Firefox < 108、Firefox ESR < 102.6 和 Thunderbird < 102.6。(CVE-2022-46872)

- 具有长文件名的文件可被截断以删除有效的扩展名，而在其位置留下恶意的扩展名。这可能导致用户混淆和执行恶意代码。(<br/>) *注意*：此问题最初包含在 Thunderbird 102.6 的公告中，但缺少一个修补程序（特定于 Thunderbird），导致它实际上在 Thunderbird 102.6.1 中得到修复。此漏洞会影响 Firefox < 108、Thunderbird < 102.6.1、Thunderbird < 102.6 和 Firefox ESR < 102.6。(CVE-2022-46874)

- Mozilla 开发人员 Randell Jesup、Valentin Gosu、Olli Pettay 及 Mozilla Fuzzing 团队报告 Thunderbird 102.5 中存在内存安全错误。其中某些错误展示出内存损坏迹象，我们推测如果攻击者进行足够的尝试，则可以利用此漏洞运行任意代码。此漏洞会影响 Firefox < 108、Firefox ESR < 102.6 和 Thunderbird < 102.6。(CVE-2022-46878)

- 缺少与 tex 单元相关的检查会造成释放后使用，并可能导致出现会被利用的崩溃。<br /> *注意*：在更好地了解了此问题的影响之后，我们于 2022 年 12 月 13 日添加了此公告。此补丁包含在 Firefox 105 的原始版本中。此漏洞会影响 Firefox ESR < 102.6、Firefox < 105 和 Thunderbird < 102.6。(CVE-2022-46880)

- WebGL 中的优化在某些情况下不正确，可导致内存损坏和潜在可利用的崩溃。*注意*：在更好地了解了此问题的影响之后，我们于 2022 年 12 月 13 日添加了此公告。此补丁包含在 Firefox 106 的原始版本中。此漏洞会影响 Firefox < 106、Firefox ESR < 102.6 和 Thunderbird < 102.6。(CVE-2022-46881)

- WebGL 扩展程序中的释放后使用可能导致潜在的可利用崩溃。此漏洞会影响 Firefox < 107、Firefox ESR < 102.6 和 Thunderbird < 102.6。(CVE-2022-46882)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。