Amazon Linux 2: firefox (ALASFIREFOX-2025-036)

medium Nessus 插件 ID 233705

语言：

简介

远程 Amazon Linux 2 主机缺少安全更新。

描述

远程主机上安装的 Firefox 版本低于 128.8.0-1。因此，该软件受到 ALAS2FIREFOX-2025-036 公告中提及的多个漏洞影响。

通过阅读器模式发起的请求未正确忽略具有 SameSite 属性的 Cookie。此漏洞会影响 Thunderbird < 91.9、Firefox ESR < 91.9 和 Firefox < 100。(CVE-2022-29912)

SkRegion.cpp 的 resizeToAtLeast 中可能存在整数溢出所导致的越界写入问题。
这可能会导致本地权限提升，且无需其他执行权限。无需用户交互即可利用漏洞。(CVE-2024-43097)

WebTransport 连接的内容进程端可能会出现释放后使用漏洞，进而可能导致遭恶意利用的崩溃。此漏洞会影响 Firefox < 136、Firefox ESR < 115.21、Firefox ESR < 128.8、Thunderbird < 136 和 Thunderbird < 128.8。(CVE-2025-1931)

xslt/txNodeSorter 中存在不一致的 Comparator，可能会导致遭恶意利用的越界访问漏洞。此漏洞只会影响版本 122 及更高版本。此漏洞会影响 Firefox < 136、Firefox ESR < 128.8、Thunderbird < 136 和 Thunderbird < 128.8。(CVE-2025-1932)

在 64 位 CPU 上，当 JIT 编译 WASM i32 返回值时，它们可以从剩余内存中获取位。
这可能会导致系统将其视作其他类型。此漏洞会影响 Firefox < 136、Firefox ESR < 115.21、Firefox ESR < 128.8、Thunderbird < 136 和 Thunderbird < 128.8。
(CVE-2025-1933)

有可能中断 RegExp 补救的处理并运行其他 JavaScript，进而可能在引擎无预期的情况下触发垃圾回收。此漏洞会影响 Firefox < 136、Firefox ESR < 128.8、Thunderbird < 136 和 Thunderbird < 128.8。(CVE-2025-1934)

网页可诱骗用户将该站点设置为自定义 URL 协议的默认处理程序。
此漏洞会影响 Firefox < 136、Firefox ESR < 128.8、Thunderbird < 136 和 Thunderbird < 128.8。
(CVE-2025-1935)

jar：URL 检索打包在 ZIP 存档中的本地文件内容。从存档检索内容时，忽略了 null 及其之后的所有内容，但使用了 null 之后的假扩展来确定内容的类型。这可能曾被用来隐藏 Web 扩展中的代码，以将其伪装成其他内容（例如图像）。此漏洞会影响 Firefox < 136、Firefox ESR < 128.8、Thunderbird < 136 和 Thunderbird < 128.8。(CVE-2025-1936)

Firefox 135、Thunderbird 135、Firefox ESR 115.20、Firefox ESR 128.7 和 Thunderbird 128.7 中存在内存安全错误。其中某些错误展示出内存损坏迹象，我们推测如果攻击者进行足够的尝试，则可以利用此漏洞运行任意代码。此漏洞会影响 Firefox < 136、Firefox ESR < 115.21、Firefox ESR < 128.8、Thunderbird < 136 和 Thunderbird < 128.8。
(CVE-2025-1937)

Firefox 135、Thunderbird 135、Firefox ESR 128.7 和 Thunderbird 128.7 中存在内存安全错误。其中某些错误展示出内存损坏迹象，我们推测如果攻击者进行足够的尝试，则可以利用此漏洞运行任意代码。此漏洞会影响 Firefox < 136、Firefox ESR < 128.8、Thunderbird < 136 和 Thunderbird < 128.8。(CVE-2025-1938)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。