检测

Mozilla Firefox < 62.0

critical Nessus 插件 ID 275640

语言:

简介

远程 macOS 或 Mac OS X 主机上安装的 Web 浏览器受到多个漏洞影响。

描述

远程 macOS 或 Mac OS X 主机上安装的 Mozilla Firefox 版本低于 62.0。因此如公告 mfsa2018-20 所述受到多个漏洞的影响。

 - 提供待储存负载值的 JavaScript 代码使用中的 IndexedDB 索引被删除时,可能会发生释放后使用漏洞。这会导致潜在可利用的崩溃。 (CVE-2018-12378)

 - 关机时,若在某些情况下重新整理了重新整理驱动程序定时器,可能会发生释放后使用漏洞,这是因为定时器在使用中状态下遭到删除所致。这会导致潜在可利用的崩溃。 (CVE-2018-12377)

 - 在页面上使用 <code><meta> meta http-equiv=refresh</code> 时同源策略违规可能会造成跨源 URL 条目遭窃进而导致重定向到使用 <code>performance.getEntries() 的另一个站点</code>。这是同源策略违规并且可允许数据窃取。 (CVE-2018-18499)

 - Mozilla Updater 开启含有超长项目文件名的 MAR 格式文件时,可能会触发超出边界写入,进而导致可能遭到恶意利用的损毁。需在含有恶意 MAR 文件的本机系统上手动执行 Mozilla Updater 才会发生此状况。
 (CVE-2018-12379)

 - 用含有 autofs 的 automount 功能可绕过浏览器 Proxy 设定进而可在本机文件系统上建立一个装载点。可使用 <code>file:</code> URI 直接从此已挂载的文件系统加载内容绕过已配置的代理设置。注意此问题仅影响默认配置中的 OS X。在 Linux 系统上必须安装 autofs 才会出现此漏洞但 Windows 不受影响。 (CVE-2017-16541)

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

升级到 Mozilla Firefox 62.0 或更高版本。

另见

https://www.mozilla.org/en-US/security/advisories/mfsa2018-20/

插件详情

严重性: Critical

ID: 275640

文件名: macos_firefox_62_0.nasl

版本: 1.1

类型: local

代理: macosx

发布时间: 2025/11/18

最近更新时间: 2025/11/18

支持的传感器: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 5.9

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 分数来源: CVE-2018-12378

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 8.8

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

漏洞信息

CPE: cpe:/a:mozilla:firefox

必需的 KB 项: installed_sw/Mozilla Firefox

可利用: true

易利用性: Exploits are available

补丁发布日期: 2018/9/5

漏洞发布日期: 2017/11/3

参考资料信息

CVE: CVE-2017-16541, CVE-2018-12375, CVE-2018-12376, CVE-2018-12377, CVE-2018-12378, CVE-2018-12379, CVE-2018-12381, CVE-2018-12382, CVE-2018-12383, CVE-2018-18499

IAVA: 2018-A-0288-S, 2019-A-0324-S