Amazon Linux 2：firefox (ALASFIREFOX-2024-024)

high Nessus 插件 ID 194873

语言：

简介

远程 Amazon Linux 2 主机缺少安全更新。

描述

远程主机上安装的 Firefox 版本低于 115.10.0-1。因此，它受到 ALAS2FIREFOX-2024-024 公告中提及的多个漏洞影响。

- 攻击者可将事件处理程序注入特权对象中，进而在父进程中执行任意 JavaScript 代码。注意：此漏洞仅影响 Firefox 的桌面版本，不影响 Firefox 的移动版本。此漏洞会影响版本低于 124.0.1 的 Firefox 和版本低于 115.9.1 的 Firefox ESR。(CVE-2024-29944)

- 对要处理的 HTTP/2 CONTINUATION 框架的数量无限制。服务器可能会滥用此漏洞在浏览器中造成内存不足的情况。此漏洞会影响 Firefox < 125、Firefox ESR < 115.10 和 Thunderbird < 115.10。(CVE-2024-3302)

- 应用 JIT 优化时，GetBoundName 可返回错误的对象版本。此漏洞会影响 Firefox < 125、Firefox ESR < 115.10 和 Thunderbird < 115.10。(CVE-2024-3852)

- 在某些代码模式中，JIT 未正确优化切换语句，并生成了包含越界读取问题的代码。此漏洞会影响 Firefox < 125、Firefox ESR < 115.10 和 Thunderbird < 115.10。
(CVE-2024-3854)

- JIT 在某些情况下为参数创建了错误的代码。这可能会导致程序在垃圾收集期间因释放后使用问题而发生崩溃。此漏洞会影响 Firefox < 125、Firefox ESR < 115.10 和 Thunderbird < 115.10。(CVE-2024-3857)

- 如果将 AlignedBuffer 分配给自身，则后续的自行移动可导致参考计数错误，并于随后发生释放后使用问题。此漏洞会影响 Firefox < 125、Firefox ESR < 115.10 和 Thunderbird < 115.10。(CVE-2024-3861)

- Firefox 124、Firefox ESR 115.9 和 Thunderbird 115.9 中存在内存安全缺陷。此错误显示出内存损坏迹象，我们推测如果攻击者进行足够的尝试，则可以利用此漏洞运行任意代码。此漏洞会影响 Firefox < 125、Firefox ESR < 115.10 和 Thunderbird < 115.10。
(CVE-2024-3864)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。