已在处理畸形的 Web 内容时发现两个缺陷。包含恶意内容的网页可导致 Firefox 崩溃，或者可能以运行 Firefox 的用户的权限执行任意代码。（CVE-2015-0817、CVE-2015-0818）

安装更新后，必须重新启动 Firefox 才能使更改生效。

SeaMonkey 已更新到 2.33.1，修复了多种漏洞。

修复了以下漏洞：

- 通过 SVG 导航升级权限 (CVE-2015-0818)

- 通过不正确的 JavaScript 边界检查去除执行代码 (CVE-2015-0817)

远程主机上安装的 Mozilla SeaMonkey 版本低于 2.33.1。因此，它受到多种漏洞的影响：

由于“asmjs/AsmJSValidate.cpp”的类型化数组边界检查中存在越界错误，导致存在一个远程代码执行漏洞，此漏洞与 JavaScript 的即时编译有关。远程攻击者可使用特别构建的网页，利用此漏洞通过读取和写入内存执行任意代码。(CVE-2015-0817)

由于“docshell/base/nsDocShell.cpp”中存在与 SVG 格式内容导航相关的缺陷，因此存在一个权限升级漏洞。远程攻击者可利用此漏洞绕过同源策略保护，从而允许在特权上下文中执行任意脚本。(CVE-2015-0818)

遠端主機上安裝的 Mozilla SeaMonkey 版本比 2.33.1 舊。因此，會受到多個弱點影響：

- 存在一個遠端程式碼執行弱點，此弱點是因為「asmjs/AsmJSValidate.cpp」輸入陣列邊界檢查的超出邊界錯誤所導致，這與 JavaScript 的 Just-In-Time 編譯相關。遠端攻擊者可利用特製的網頁加以惡意利用，在讀取及寫入記憶體時執行任意程式碼。(CVE-2015-0817)

- 存在一個因「docshell/base/nsDocShell.cpp」中的一個瑕疵而導致的權限提升弱點，這與 SVG 格式內容導覽相關。遠端攻擊者可加以惡意利用，藉此繞過同源原則保護，從而可能在有權限的內容中執行任意指令碼。(CVE-2015-0818)

在處理格式錯誤的 Web 內容過程中發現兩個瑕疵。包含惡意內容的網頁可造成 Firefox 損毀，或可能利用執行 Firefox 之使用者的權限來執行任意程式碼。(CVE-2015-0817、CVE-2015-0818)

安裝更新之後，Firefox 必須重新啟動，變更才會生效。

SeaMonkey 已更新至 2.33.1，修正了數個弱點。

下列弱點已修正：

- 透過 SVG 導覽的權限提升 (CVE-2015-0818)

- 透過不正確 JavaScript 邊界檢查消除的程式碼執行 (CVE-2015-0817)

已发现在 Iceweasel（Debian 版本的 Mozilla Firefox Web 浏览器）中存在多个安全问题。通用漏洞和暴露计划识别以下问题：

- CVE-2015-0817 ilxu1a 报告了在 JavaScript 即时编译 (JIT) 及其对堆访问边界检查的管理中发现 Mozilla 实现类型化数组边界检查中的一个缺陷。可利用此缺陷读取和写入内存，从而允许在本地系统中执行任意代码。

- CVE-2015-0818 Mariusz Mlynski 发现了在特权上下文中运行任意脚本的方法。这可通过利用 SVG 格式内容导航的处理过程中的缺陷，绕过同源策略保护。

更新后的 firefox 程序包修复了两个安全问题，现在可用于 Red Hat Enterprise Linux 5、6 和 7。

Red Hat 产品安全团队将此更新评级为具有严重安全影响。可从“参考”部分中的 CVE 链接获取针对每个漏洞的通用漏洞评分系统 (CVSS) 基本分数，其给出了详细的严重性等级。

Mozilla Firefox 是一款开源 Web 浏览器。XULRunner 提供用于 Mozilla Firefox 的 XUL Runtime 环境。

已在处理畸形的 Web 内容时发现两个缺陷。包含恶意内容的网页可导致 Firefox 崩溃，或者可能以运行 Firefox 的用户的权限执行任意代码。（CVE-2015-0817、CVE-2015-0818）

Red Hat 在此感谢 Mozilla 项目报告这些问题。上游感谢这些问题的原始报告者 ilxu1a 和 Mariusz Mlynski。

所有 Firefox 用户应升级这些更新后的程序包，其中包含已修正了这些问题的 Firefox 版本 31.5.3 ESR。安装更新后，必须重新启动 Firefox 才能使更改生效。

远程 Windows 主机上安装的 Mozilla Firefox 版本低于 36.0.4。由于“docshell/base/nsDocShell.cpp”中存在与 SVG 格式内容导航相关的缺陷，因此会受到权限升级漏洞的影响。远程攻击者可利用此漏洞绕过同源策略保护，从而允许在特权上下文中执行任意脚本。

远程主机受到 GLSA-201504-01 中所述漏洞的影响（Mozilla 产品：多个漏洞）

    在 Firefox、Thunderbird 和 SeaMonkey 中发现多种漏洞。请检查下方引用的 CVE 标识符以了解详细信息。
  影响：

    远程攻击者可引诱用户查看特别构建的网页或电子邮件，这可能导致执行任意代码或拒绝服务的情况。此外，远程攻击者可能可以执行中间人攻击、获取敏感信息、欺骗地址栏、执行点击劫持攻击、绕过安全限制和保护机制，或造成其他不明影响。
  变通方案：

    目前尚无已知的变通方案。

現已提供適用於 Red Hat Enterprise Linux 5、6 與 7 的更新版 firefox 套件，可修正兩個安全性問題。

Red Hat 產品安全性團隊已將此更新評等為具有重大安全性影響。可針對每個弱點從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。

Mozilla Firefox 是開放原始碼的網頁瀏覽器。XULRunner 為 Mozilla Firefox 提供 XUL 執行階段環境。

在處理格式錯誤的 Web 內容過程中發現兩個瑕疵。包含惡意內容的網頁可造成 Firefox 損毀，或可能利用執行 Firefox 之使用者的權限來執行任意程式碼。(CVE-2015-0817、CVE-2015-0818)

Red Hat 要感謝 Mozilla 專案報告這些問題。上游確認 ilxu1a 和 Mariusz Mlynski 為這些問題的原始報告者。

所有 Firefox 使用者皆應升級至這些更新版套件，其中包含可更正這些問題的 Firefox 31.5.3 ESR 版。安裝更新之後，Firefox 必須重新啟動，變更才會生效。

在 Iceweasel (Mozilla Firefox 網頁瀏覽器的 Debian 版本) 中發現多個安全性問題。Common Vulnerabilities and Exposures 專案發現下列問題：

- CVE-2015-0817 ilxu1a 報告，在 Mozilla 中，JavaScript Just-In-Time 編譯 (JIT) 的輸入陣列邊界檢查實作，以及其堆積存取邊界檢查的管理中有一個瑕疵。攻擊者可利用此瑕疵來讀取和寫入記憶體，進而允許在本機系統上執行任意程式碼。

- CVE-2015-0818 Mariusz Mlynski 發現在有權限的內容中執行任意指令碼的方法。此方法利用處理 SVG 格式內容導覽過程中出現的一個瑕疵來繞過同源原則保護。

遠端 Windows 主機上安裝的 Mozilla Firefox 版本比 36.0.4 舊。因此，這會因為‘docshell/base/nsDocShell.cpp’中的瑕疵而受到權限提升弱點的影響，此與 SVG 格式內容導覽相關。遠端攻擊者可加以惡意利用，藉此繞過同源原則保護，從而可能在有權限的內容中執行任意指令碼。

遠端主機受到 GLSA-201504-01 中所述的弱點影響 (Mozilla 產品：多個弱點)

    在 Firefox、Thunderbird 和 SeaMonkey 中發現多個弱點。如需詳細資訊，請檢閱下方提及的 CVE 識別碼。
  影響：

    遠端攻擊者可能引誘使用者檢視特製的網頁或電子郵件，進而可能導致執行任意程式碼或拒絕服務情況。此外，遠端攻擊者還可能發動攔截式攻擊、取得敏感資訊、偽造位址列、發動點擊劫持攻擊、繞過安全性限制和保護機制，或造成其他不明影響。
  因應措施：

    目前尚無任何已知的因應措施。

Versions of Mozilla Firefox ESR prior to 31.5.3are affected by a privilege escalation vulnerability due to a flaw within 'docshell/base/nsDocShell.cpp', which relates to SVG format content navigation. A remote attacker can exploit this to bypass same-origin policy protections, allowing a possible execution of arbitrary scripts in a privileged context.  

Versions of SeaMonkey earlier than 2.33.1 are unpatched against the following vulnerabilities : 

 - A remote code execution vulnerability exists due to an out-of-bounds error in typed array bounds checking within 'asmjs/AsmJSValidate.cpp', which relates to just-in-time compilation for JavaScript. A remote attacker, using a specially crafted web page, can exploit this to execute arbitrary code by reading and writing to memory. (CVE-2015-0817)

 - A privilege escalation vulnerability exists due to a flaw within 'docshell/base/nsDocShell.cpp', which relates to SVG format content navigation. A remote attacker can exploit this to bypass same-origin policy protections, allowing a possible execution of arbitrary scripts in a privileged context. (CVE-2015-0818)

Versions of Mozilla Firefox earlier than 36.0.4 are affected by a privilege escalation vulnerability due to a flaw within 'docshell/base/nsDocShell.cpp', which relates to SVG format content navigation. A remote attacker can exploit this to bypass same-origin policy protections, allowing a possible execution of arbitrary scripts in a privileged context.  

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
82264	Scientific Linux 安全更新：SL5.x、SL6.x、SL7.x i386/x86_64 中的 firefox	Nessus	Scientific Linux Local Security Checks	2015/3/26	2021/1/14	high
82463	openSUSE 安全更新：seamonkey (openSUSE-2015-279)	Nessus	SuSE Local Security Checks	2015/3/31	2021/1/19	high
82042	SeaMonkey < 2.33.1 多种漏洞	Nessus	Windows	2015/3/24	2019/11/22	high
82042	SeaMonkey < 2.33.1 多個弱點	Nessus	Windows	2015/3/24	2019/11/22	high
82264	Scientific Linux 安全性更新：SL5.x、SL6.x、SL7.x i386/x86_64 上的 firefox	Nessus	Scientific Linux Local Security Checks	2015/3/26	2021/1/14	high
82463	openSUSE 安全性更新：seamonkey (openSUSE-2015-279)	Nessus	SuSE Local Security Checks	2015/3/31	2021/1/19	high
81999	Debian DSA-3201-1：iceweasel - 安全更新	Nessus	Debian Local Security Checks	2015/3/24	2021/1/11	high
82083	CentOS 5 / 6 / 7：firefox (CESA-2015:0718)	Nessus	CentOS Local Security Checks	2015/3/26	2021/1/4	high
82041	Firefox < 36.0.4 SVG 绕过权限升级	Nessus	Windows	2015/3/24	2019/11/22	high
82632	GLSA-201504-01 ：Mozilla 产品：多个漏洞	Nessus	Gentoo Local Security Checks	2015/4/8	2021/1/11	critical
82083	CentOS 5 / 6 / 7 : firefox (CESA-2015:0718)	Nessus	CentOS Local Security Checks	2015/3/26	2021/1/4	high
81999	Debian DSA-3201-1：iceweasel - 安全性更新	Nessus	Debian Local Security Checks	2015/3/24	2021/1/11	high
82041	Firefox < 36.0.4 SVG 繞過權限提升	Nessus	Windows	2015/3/24	2019/11/22	high
82632	GLSA-201504-01：Mozilla 產品：多個弱點	Nessus	Gentoo Local Security Checks	2015/4/8	2021/1/11	critical
701252	Mozilla Firefox ESR < 31.5.3 SVG Bypass Privilege Escalation	Nessus Network Monitor	Web Clients	2019/11/6	2019/11/6	high
8686	SeaMonkey < 2.33.1	Nessus Network Monitor	Web Clients	2015/4/10	2019/3/6	high
8685	Mozilla Firefox < 36.0.4 SVG Bypass Privilege Escalation	Nessus Network Monitor	Web Clients	2015/4/10	2019/11/6	high

检测

插件搜索

high

high

high

high

high

high

high

high

high

critical

high

high

high

critical

high

high

high