检测

Mozilla Firefox ESR < 115.15

critical Nessus 插件 ID 206469

语言:

简介

远程 macOS 或 Mac OS X 主机上安装的 Web 浏览器受到多个漏洞影响。

描述

远程 macOS 或 Mac OS X 主机上安装的 Firefox ESR 版本低于 115.15。因此,受到 mfsa2024-41 公告中提及的多个漏洞影响。

 - 在用作 <code> 和 </code> 环境的对象上查找属性名称时,可能触发可遭利用的类型混淆。(CVE-2024-8381)

 - 当特权 EventHandler 侦听器回调运行于这些事件时,内部浏览器事件接口会暴露给 Web 内容。尝试使用这些界面的 Web 内容将无法获得提升的权限,但这些界面的存在表示某些浏览器功能已被启用,比如用户打开了 Dev Tools 控制台。(CVE-2024-8382)

 - Firefox 通常会要求确认,然后才会要求操作系统查找应用程序来处理浏览器不支持的方案。它在对 Usenet 相关方案 news: 和 snews: 这样做之前没有进行询问。由于大多数操作系统没有默认安装受信任的新闻阅读器,用户下载的恶意程序可以将自己注册为处理程序。提供应用程序下载的网站随后可以随时启动该应用程序。(CVE-2024-8383)

 - 如果在两次通过之间的正确时间点检测到 OOM 条件,JavaScript 垃圾回收器可能会为 cross-compartment 对象错误着色。这可导致内存损坏。(CVE-2024-8384)

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

升级至 Mozilla Firefox ESR 115.15 或更高版本。

另见

https://www.mozilla.org/en-US/security/advisories/mfsa2024-41/

插件详情

严重性: Critical

ID: 206469

文件名: macos_firefox_115_15_esr.nasl

版本: 1.6

类型: local

代理: macosx

发布时间: 2024/9/3

最近更新时间: 2025/2/3

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 7.8

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2024-8384

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 8.8

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

漏洞信息

CPE: cpe:/a:mozilla:firefox_esr

必需的 KB 项: MacOSX/Firefox/Version

可利用: true

易利用性: Exploits are available

补丁发布日期: 2024/9/3

漏洞发布日期: 2024/9/3

参考资料信息

CVE: CVE-2024-8381, CVE-2024-8382, CVE-2024-8383, CVE-2024-8384

IAVA: 2024-A-0538-S