Amazon Linux 2：firefox (ALASFIREFOX-2024-025)

high Nessus 插件 ID 200360

语言：

简介

远程 Amazon Linux 2 主机缺少安全更新。

描述

远程主机上安装的 Firefox 版本低于 115.11.0-1。因此，它受到 ALAS2FIREFOX-2024-025 公告中提及的多个漏洞影响。

在处理 PDF.js 中的字体时，类型检查器中缺少类型检查，这可能在 PDF.js 上下文中执行任意 JavaScript。此漏洞会影响 Firefox < 126，Firefox ESR < 115.11 和 Thunderbird < 115.11。(CVE-2024-4367)

如果启用“browser.privatebrowsing.autostart”偏好，IndexedDB 文件将在 Windows 关闭时候无法正确删除。在 Firefox 中，此偏好默认为未启用状态。此漏洞会影响 Firefox < 126，Firefox ESR < 115.11 和 Thunderbird < 115.11。(CVE-2024-4767)

弹出 WebAuthn 互动通知，攻击者可能会借此诱骗用户授予权限。此漏洞会影响 Firefox < 126，Firefox ESR < 115.11 和 Thunderbird < 115.11。(CVE-2024-4768)

使用 Web 工作线程导入资源时，错误消息会区分“application/javascript”响应和非脚本响应之间的差异。这可能被滥用于了解信息跨源。此漏洞会影响 Firefox < 126，Firefox ESR < 115.11 和 Thunderbird < 115.11。(CVE-2024-4769)

当将页面保存至 PDF 时，某些字体样式无法造成潜在的释放后使用崩溃。此漏洞会影响 Firefox < 126，Firefox ESR < 115.11 和 Thunderbird < 115.11。(CVE-2024-4770)

Firefox 125、Firefox ESR 115.10 和 Thunderbird 115.10 中的内存安全缺陷。其中某些错误展示出内存损坏迹象，我们推测如果攻击者进行足够的尝试，则可以利用此漏洞运行任意代码。此漏洞会影响 Firefox < 126，Firefox ESR < 115.11 和 Thunderbird < 115.11。(CVE-2024-4777)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。