Amazon Linux 2: firefox (ALASFIREFOX-2025-034)

critical Nessus 插件 ID 216809

语言：

简介

远程 Amazon Linux 2 主机缺少安全更新。

描述

远程主机上安装的 Firefox 版本低于 128.7.0-1。因此，该软件受到 ALAS2FIREFOX-2025-034 公告中提及的多个漏洞影响。

可使用“iframe”中的 URL 数据隐藏外部协议处理程序提示的来源。此漏洞会影响 Firefox < 132、Firefox ESR < 128.4、Thunderbird < 128.4 和 Thunderbird < 132。(CVE-2024-10460)

- 在 multipart/x-mixed-replace 响应中，未遵循响应标头中的“Content-Disposition: attachment”且未强制下载，可能导致 XSS 攻击。此漏洞会影响 Firefox < 132、Firefox ESR < 128.4、Thunderbird < 128.4 和 Thunderbird < 132。(CVE-2024-10461)

- 截断长 URL 可能导致权限提示中的欺骗来源。此漏洞会影响 Firefox < 132、Firefox ESR < 128.4、Thunderbird < 128.4 和 Thunderbird < 132。(CVE-2024-10462)

重复写入历史记录界面属性可能被用于在浏览器中造成拒绝服务情况。已通过将速率限制引入此 API 得到解决。此漏洞会影响 Firefox < 132、Firefox ESR < 128.4、Thunderbird < 128.4 和 Thunderbird < 132。(CVE-2024-10464)

剪贴板粘贴按钮可跨选项卡持续存在，导致欺骗攻击。此漏洞会影响 Firefox < 132、Firefox ESR < 128.4、Thunderbird < 128.4 和 Thunderbird < 132。(CVE-2024-10465)

通过发送特别构建的推送消息，远程服务器可挂起父进程，从而导致浏览器失去响应。此漏洞会影响 Firefox < 132、Firefox ESR < 128.4、Thunderbird < 128.4 和 Thunderbird < 132。(CVE-2024-10466)

在 Firefox 131、Firefox ESR 128.3 和 Thunderbird 128.3 中修复了内存安全缺陷。其中某些错误展示出内存损坏迹象，我们推测如果攻击者进行足够的尝试，则可以利用此漏洞运行任意代码。此漏洞会影响 Firefox < 132、Firefox ESR < 128.4、Thunderbird < 128.4 和 Thunderbird < 132。(CVE-2024-10467)

IndexedDB 中的潜在争用条件可造成内存损坏，导致可能被利用的崩溃。此漏洞会影响 Firefox < 132 和 Thunderbird < 132。(CVE-2024-10468)

恶意网站可能包含具有畸形 URI 的 iframe，导致不可利用的浏览器崩溃。此漏洞会影响 Firefox < 126。(CVE-2024-10941)

在特定的导航事件序列期间，攻击者可将数据写入用户的剪贴板，从而绕过用户提示。此漏洞会影响 Firefox < 129。(CVE-2024-8900)

目前未知此问题是否可被利用，但可能会造成某些对象的结构化克隆导致内存损坏。此漏洞会影响 Firefox < 131、Firefox ESR < 128.3、Thunderbird < 128.3 和 Thunderbird < 131。(CVE-2024-9396)

目录上传 UI 中缺少延迟，攻击者可能通过点击劫持诱骗用户授予权限。此漏洞会影响 Firefox < 131、Firefox ESR < 128.3、Thunderbird < 128.3 和 Thunderbird < 131。(CVE-2024-9397)

- 配置为发起特别构建的 WebTransport 会话的网站可导致 Firefox 进程崩溃，从而导致拒绝服务情况。此漏洞会影响 Firefox < 131、Firefox ESR < 128.3、Thunderbird < 128.3 和 Thunderbird < 131。(CVE-2024-9399)

如果攻击者能够在 JIT 编译期间的特定时刻触发 OOM，则可触发一个潜在的内存损坏漏洞。此漏洞会影响 Firefox < 131、Firefox ESR < 128.3、Thunderbird < 128.3 和 Thunderbird < 131。(CVE-2024-9400)

假设受控于失败的内存分配，攻击者即可造成释放后使用，进而导致潜在可利用的崩溃。此漏洞会影响 Firefox < 134、Firefox ESR < 128.6、Firefox ESR < 115.19、Thunderbird < 134 和 Thunderbird ESR < 128.6。(CVE-2025-0238)

已修复 Firefox 133、Thunderbird 133、Firefox ESR 115.18、Firefox ESR 128.5, Thunderbird 115.18 和 Thunderbird 128.5 中的内存安全错误。其中某些错误展示出内存损坏迹象，我们推测如果攻击者进行足够的尝试，则可以利用此漏洞运行任意代码。此漏洞会影响 Firefox < 134、Firefox ESR < 128.6、Firefox ESR < 115.19、Thunderbird < 134 和 Thunderbird ESR < 128.6。(CVE-2025-0242)

攻击者可能已通过构建的 XSLT 数据造成释放后使用缺陷，而此缺陷可能会造成可利用的程序崩溃问题。此漏洞会影响 Firefox < 135、Firefox ESR < 115.20、Firefox ESR < 128.7、和 Thunderbird < 128.7、和 Thunderbird < 135。(CVE-2025-1009)

攻击者可能已通过 Custom Highlight API 造成释放后使用缺陷，而此缺陷可能会造成可利用的程序崩溃问题。此漏洞会影响 Firefox < 135、Firefox ESR < 115.20、Firefox ESR < 128.7、和 Thunderbird < 128.7、和 Thunderbird < 135。(CVE-2025-1010)

WebAssembly 代码生成过程中有一个缺陷可导致程序崩溃，攻击者可能利用此漏洞来执行代码。此漏洞会影响 Firefox < 135、Firefox ESR < 128.7、Thunderbird < 128.7 和 Thunderbird < 135。(CVE-2025-1011)

并发 delazification 过程中产生的争用条件可能已导致释放后使用缺陷。此漏洞会影响 Firefox < 135、Firefox ESR < 115.20、Firefox ESR < 128.7、和 Thunderbird < 128.7、和 Thunderbird < 135。
(CVE-2025-1012)

争用条件可导致在正常浏览窗口中打开个人浏览选项卡。这可能导致潜在的隐私泄露。此漏洞会影响 Firefox < 135、Firefox ESR < 128.7、Thunderbird < 128.7 和 Thunderbird < 135。(CVE-2025-1013)

将证书添加到证书存储时未正确检查证书长度。实践中仅处理了受信任的数据。此漏洞会影响 Firefox < 135、Firefox ESR < 128.7、Thunderbird < 128.7 和 Thunderbird < 135。(CVE-2025-1014)

Firefox 134、Thunderbird 134、Firefox ESR 115.19、Firefox ESR 128.6, Thunderbird 115.19 和 Thunderbird 128.6 中存在内存安全错误。其中某些错误展示出内存损坏迹象，我们推测如果攻击者进行足够的尝试，则可以利用此漏洞运行任意代码。此漏洞会影响 Firefox < 135、Firefox ESR < 115.20、Firefox ESR < 128.7、和 Thunderbird < 128.7、和 Thunderbird < 135。(CVE-2025-1016)

Firefox 134、Thunderbird 134、Firefox ESR 128.6 和 Thunderbird 128.6 中存在内存安全错误。其中某些错误展示出内存损坏迹象，我们推测如果攻击者进行足够的尝试，则可以利用此漏洞运行任意代码。此漏洞会影响 Firefox < 135、Firefox ESR < 128.7、Thunderbird < 128.7 和 Thunderbird < 135。(CVE-2025-1017)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。