Firefox 10.0.x < 10.0.8 多种漏洞
critical Nessus 插件 ID 62579
语言:
简介
远程 Windows 主机包含受多种漏洞影响的 Web 浏览器。描述
安装的 Firefox 10.0.x 版本受到以下漏洞的影响:- 基于 Mozilla 的产品中使用的浏览器引擎存在多个内存安全缺陷,可能被利用以执行任意代码。(CVE-2012-3983)
用于测试的某些功能方法 (DOMWindowUtils) 未受到正常保护,可以通过脚本被网页调用。(CVE-2012-3986)
调用全屏模式与向后导航历史记录相结合,可导致可被利用的拒绝服务。(CVE-2012-3988)
- 如果通过 JSAP 调用“GetProperty”函数,获取跨源属性时可能绕过安全检查,从而导致执行任意代码。(CVE-2012-3991)
- 二进制插件可通过“top.location”访问“location”属性,“top”也可被“Object.defineProperty”遮蔽,这可能导致通过插件发起跨站脚本攻击。(CVE-2012-3994)
- Chrome 对象封装程序 (COW) 存在缺陷,可能允许访问特权功能、发起跨站脚本攻击或执行任意代码。(CVE-2012-3993、CVE-2012-4184)
-“location.hash”属性容易受到攻击,可能导致攻击者注入脚本或拦截发布数据。(CVE-2012-3992)
-“地址审查器”工具受多个可能被利用的释放后使用缺陷影响。(CVE-2012-3990、CVE-2012-3995、CVE-2012-4179、CVE-2012-4180、CVE-2012-4181、CVE-2012-4182、CVE-2012-4183)
-“地址审查器”工具受多个可能被利用的堆内存损坏问题的影响。(CVE-2012-4185、CVE-2012-4186、CVE-2012-4187、CVE-2012-4188)
解决方案
升级到 Firefox 10.0.8 或更高版本。另见
https://www.mozilla.org/en-US/security/advisories/mfsa2012-87/
https://www.mozilla.org/en-US/security/advisories/mfsa2012-86/
https://www.mozilla.org/en-US/security/advisories/mfsa2012-85/
https://www.mozilla.org/en-US/security/advisories/mfsa2012-84/
https://www.mozilla.org/en-US/security/advisories/mfsa2012-83/
https://www.mozilla.org/en-US/security/advisories/mfsa2012-82/
https://www.mozilla.org/en-US/security/advisories/mfsa2012-81/
https://www.mozilla.org/en-US/security/advisories/mfsa2012-79/
https://www.mozilla.org/en-US/security/advisories/mfsa2012-77/
https://www.mozilla.org/en-US/security/advisories/mfsa2012-74/
插件详情
严重性: Critical
ID: 62579
文件名: mozilla_firefox_1008.nasl
版本: 1.17
类型: local
代理: windows
系列: Windows
发布时间: 2012/10/17
最近更新时间: 2019/12/4
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
风险信息
VPR
风险因素: High
分数: 8.9
CVSS v2
风险因素: Critical
基本分数: 10
时间分数: 8.7
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2012-4188
漏洞信息
CPE: cpe:/a:mozilla:firefox
必需的 KB 项: Mozilla/Firefox/Version
可利用: true
易利用性: Exploits are available
补丁发布日期: 2012/10/9
漏洞发布日期: 2012/10/9
可利用的方式
Metasploit (Firefox 5.0 - 15.0.1 __exposedProps__ XCS Code Execution)
参考资料信息
CVE: CVE-2012-3982, CVE-2012-3983, CVE-2012-3986, CVE-2012-3988, CVE-2012-3990, CVE-2012-3991, CVE-2012-3992, CVE-2012-3993, CVE-2012-3994, CVE-2012-3995, CVE-2012-4179, CVE-2012-4180, CVE-2012-4181, CVE-2012-4182, CVE-2012-4183, CVE-2012-4184, CVE-2012-4185, CVE-2012-4186, CVE-2012-4187, CVE-2012-4188
BID: 55922, 55924, 55930, 55931, 56118, 56119, 56120, 56121, 56123, 56125, 56126, 56127, 56128, 56129, 56130, 56131, 56135, 56136, 56140, 56145