Amazon Linux 2：firefox (ALASFIREFOX-2024-029)

critical Nessus 插件 ID 207402

语言：

简介

远程 Amazon Linux 2 主机缺少安全更新。

描述

远程主机上安装的 Firefox 版本低于 115.15.0-1。因此，它受到 ALAS2FIREFOX-2024-029 公告中提及的多个漏洞影响。

2024-09-26：已将 CVE-2024-7652 添加到此公告中。

ECMA-262 规范中与异步发生器相关的错误，可导致类型混淆，从而可能导致内存损坏和可利用的崩溃。此漏洞会影响 Firefox < 128、Firefox ESR < 115.13、Thunderbird < 115.13 和 Thunderbird < 128。(CVE-2024-7652)

- 在用作 `with` 环境的对象上查找属性名称时，可能触发可遭利用的类型混淆。此漏洞会影响 Firefox < 130、Firefox ESR < 128.2 和 Firefox ESR < 115.15。(CVE-2024-8381)

- 当特权 EventHandler 侦听器回调运行于这些事件时，内部浏览器事件接口会暴露给 Web 内容。尝试使用这些界面的 Web 内容将无法获得提升的权限，但这些界面的存在表示某些浏览器功能已被启用，比如用户打开了 Dev Tools 控制台。此漏洞会影响 Firefox < 130、Firefox ESR < 128.2 和 Firefox ESR < 115.15。(CVE-2024-8382)

Mozilla Foundation 的安全公告显示，Firefox 在处理 news: 和 snews: 等 Usenet 方案时未提示确认，可能会让恶意程序注册为处理程序。此疏忽可能使网站在未经用户同意的情况下启动这些程序。
(CVE-2024-8383)

- 如果在两次通过之间的正确时间点检测到 OOM 条件，JavaScript 垃圾回收器可能会为 cross-compartment 对象错误着色。这可导致内存损坏。此漏洞会影响 Firefox < 130、Firefox ESR < 128.2 和 Firefox ESR < 115.15。(CVE-2024-8384)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。