保安警报(A15-09-04): Firefox 多个漏洞

描述:

Mozilla 发布了安全性公告，以应对于 Firefox 中发现的多个漏洞。造成这些漏洞的原因包括于浏览器引擎的内存安全性错误、缓冲区满溢、以及释放后使用(use-after-free)错误。远程攻击者可诱使用户开启包含特制内容的网页来攻击这些漏洞。

受影响的系统:

• Firefox 41 之前的版本
• Firefox ESR 38.3 之前的版本
  (Firefox ESR 31.x 亦可能受影响但已终止支持)

影响:

成功利用这些漏洞的攻击者可以终止程序执行和在受影响的系统上执行任意程序代码。

建议:

Mozilla发行了有关产品的新版本以应对以上问题。用户可从以下网址下载:

• Firefox 41 for Windows, Macintosh 及 Linux
  http://www.mozilla.org/en-US/firefox/all.html
  
  
• Firefox ESR 38.3 for Windows, Macintosh 及 Linux
  http://www.mozilla.org/en-US/firefox/organizations/all/
  
  

受影响系统的用户应遵从产品供货商的建议，立即采取行动以降低风险。

进一步信息:

https://www.mozilla.org/en-US/security/advisories/
https://www.mozilla.org/en-US/security/advisories/mfsa2015-96/ (至 mfsa2015-114)
https://wiki.mozilla.org/Enterprise/Firefox/ExtendedSupport:Proposal
https://www.hkcert.org/my_url/zh/alert/15092301
https://www.us-cert.gov/ncas/current-activity/2015/09/22/Mozilla-Releases-Security-Updates-Firefox
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4476
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4500 (至 CVE-2015-4512)
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4516 (至 CVE-2015-4517)
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4519 (至 CVE-2015-4522)
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7174 (至 CVE-2015-7180)