Rocky Linux 8firefox (RLSA-2024:0955)

high Nessus 插件 ID 191913

语言：

简介

远程 Rocky Linux 主机缺少一个或多个安全更新。

描述

远程 Rocky Linux 8 主机上存在安装的程序包该程序包受到公告 RLSA-2024:0955 中提及的多个漏洞的影响。

- 当在网络通道上存储和重新访问数据时，缓冲区长度可能受到混淆，进而导致越界内存读取攻击。该漏洞影响 Firefox < 123、Firefox ESR < 115.8 和 Thunderbird < 115.8。(CVE-2024-1546)

- 通过一系列 API 调用和重定向，由攻击者控制的警报对话框可能会在其他网站上显示（显示受害者网站的 URL）。该漏洞影响 Firefox < 123、Firefox ESR < 115.8 和 Thunderbird < 115.8。(CVE-2024-1547)

- 网站可通过使用下拉选择输入元素掩盖全屏通知。这有可能导致用户混淆或潜在的欺骗攻击。该漏洞影响 Firefox < 123、Firefox ESR < 115.8 和 Thunderbird < 115.8。(CVE-2024-1548)

- 如果网站设置了大型自定义光标，则光标的部分内容可能与权限对话框重叠，从而可能导致用户混淆和意外授予权限。该漏洞影响 Firefox < 123、Firefox ESR < 115.8 和 Thunderbird < 115.8。(CVE-2024-1549)

- 恶意网站可结合使用退出全屏模式和 `requestPointerLock`，造成用户鼠标意外重新定位，进而导致用户混淆，并无意中授予不该授予的权限。该漏洞影响 Firefox < 123、Firefox ESR < 115.8 和 Thunderbird < 115.8。(CVE-2024-1550)

- 多部分 HTTP 响应中未正确遵循 Set-Cookie 响应标头。如果攻击者可以控制 Content-Type 响应标头以及部分响应正文，则可注入浏览器遵循的 Set-Cookie 响应标头。该漏洞影响 Firefox < 123、Firefox ESR < 115.8 和 Thunderbird < 115.8。(CVE-2024-1551)

- 错误代码生成可导致意外数值转换和潜在的未定义行为。*注意：* 此问题仅影响 32 位 ARM 设备。该漏洞影响 Firefox < 123、Firefox ESR < 115.8 和 Thunderbird < 115.8。(CVE-2024-1552)

- 在 Firefox 122、Firefox ESR 115.7 和 Thunderbird 115.7 中修复了内存安全缺陷。其中某些错误展示出内存损坏迹象，我们推测如果攻击者进行足够的尝试，则可以利用此漏洞运行任意代码。该漏洞影响 Firefox < 123、Firefox ESR < 115.8 和 Thunderbird < 115.8。(CVE-2024-1553)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。