Firefox 3.5 < 3.5.17 多种漏洞

high Nessus 插件 ID 52530

简介

远程 Windows 主机包含受多种漏洞影响的 Web 浏览器。

描述

已安装的 Firefox 3.5 版本低于 3.5.17。此类版本可能会受到多种漏洞的影响:

- 存在多个内存损坏错误,因此可能造成执行任意代码。(MFSA 2010-74、MFSA 2011-01)

- 在对“eval()”的递归调用被包装在 try/catch 语句中时,对此类调用的处理中存在错误。此错误导致显示其中不含内容和含不工作按钮的对话框。
关闭该对话框将导致默认接受该对话框。(MFSA 2011-02)

- “JSON.stringify”使用的方法中存在一个释放后使用错误,可允许执行任意代码。(MFSA 2011-03)

- JavaScript 引擎的非本地变量内部内存映射中存在一个缓冲区溢出漏洞,可能导致执行代码。(MFSA 2011-04)

- JavaScript 引擎的字符串值内部映射中存在缓冲区溢出漏洞,可能导致执行代码。(MFSA 2011-05)

- 存在一个释放后使用错误,因此可使用 JavaScript 的“工作线程”保持对垃圾回收期间可释放的对象的引用。此漏洞可造成执行任意代码。
(MFSA 2011-06)

- 存在关于创建极长字符串和将这些字符串插入 HTML 文档的缓冲区溢出错误。此漏洞可造成执行任意代码。(MFSA 2011-07)

- 在类“ParanoidFragmentSink”中存在输入验证错误,其允许 chrome 文档中包含内联的 JavaScript 和“javascript:”URL。请注意,Mozilla 产品中不存在不安全的使用,但是社区生成的扩展可能存在。(MFSA 2011-08)

- 响应插件的请求中收到 HTTP 307 重定向时,存在一个跨站请求伪造 (CSRF) 漏洞。请求在不让插件了解,自定义标头保持不变,甚至经过源的情况下转发到新位置。(MFSA 2011-10)

解决方案

升级到 Firefox 3.5.17 或更高版本。

另见

https://seclists.org/bugtraq/2010/Apr/202

https://www.mozilla.org/en-US/security/advisories/mfsa2010-74/

https://www.mozilla.org/en-US/security/advisories/mfsa2011-01/

https://www.mozilla.org/en-US/security/advisories/mfsa2011-02/

https://www.mozilla.org/en-US/security/advisories/mfsa2011-03/

https://www.mozilla.org/en-US/security/advisories/mfsa2011-04/

https://www.mozilla.org/en-US/security/advisories/mfsa2011-05/

https://www.mozilla.org/en-US/security/advisories/mfsa2011-06/

https://www.mozilla.org/en-US/security/advisories/mfsa2011-07/

https://www.mozilla.org/en-US/security/advisories/mfsa2011-08/

https://www.mozilla.org/en-US/security/advisories/mfsa2011-10/

http://www.nessus.org/u?64946117

插件详情

严重性: High

ID: 52530

文件名: mozilla_firefox_3517.nasl

版本: 1.12

类型: local

代理: windows

系列: Windows

发布时间: 2011/3/3

最近更新时间: 2018/11/15

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: High

基本分数: 9.3

时间分数: 6.9

矢量: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C

漏洞信息

CPE: cpe:/a:mozilla:firefox

必需的 KB 项: Mozilla/Firefox/Version

易利用性: No known exploits are available

补丁发布日期: 2011/3/1

漏洞发布日期: 2010/4/28

参考资料信息

CVE: CVE-2010-1585, CVE-2010-3777, CVE-2011-0051, CVE-2011-0053, CVE-2011-0054, CVE-2011-0055, CVE-2011-0056, CVE-2011-0057, CVE-2011-0058, CVE-2011-0059

BID: 45348, 46368, 46643, 46645, 46648, 46650, 46652, 46660, 46661, 46663

Secunia: 42517, 43550