MiracleLinux 4firefox-10.0.6-1.0.1.AXS4、xulrunner-10.0.6-1.0.1.AXS4 (AXSA:2012-874:05)

medium Nessus Plugin ID 283914

語言:

概要

遠端 MiracleLinux 主機缺少一個或多個安全性更新。

說明

遠端 MiracleLinux 4 主機已安裝受到多個弱點影響的套件如 AXSA:2012-874:05 公告中所提及。

Mozilla Firefox 是開放原始碼網頁瀏覽器專為標準合規性、效能和可攜性而設計。
此版本修正的安全性問題
CVE-2011-3062 在 18.0.1025.142 之前的 Google Chrome 中OpenType 清理程式有差一錯誤允許遠端攻擊者透過特製的 OpenType 檔案引發拒絕服務或可能帶來其他不明影響。
CVE-2012-0467 在 Mozilla Firefox 4.x 至 11.0、Firefox ESR 10.x 之前 10.0.4、Thunderbird 5.0 至 11.0、Thunderbird ESR 10.x 之前 10.0.4以及 SeaMonkey 之前 2.9 中瀏覽器引擎有多個不明弱點允許遠端攻擊者會透過未知向量造成拒絕服務 (記憶體損毀和應用程式損毀)或可能執行任意程式碼。
CVE-2012-0468 在 Mozilla Firefox 4.x 至 11.0、Thunderbird 5.0 至 11.0以及 2.9 之前的 SeaMonkey 中瀏覽器引擎允許遠端攻擊者透過向量相關的更新至 jsval.h 和 js::array_shift 函式。
CVE-2012-0469 Mozilla Firefox 4.x 到 11.0、[] 之前的 Firefox ESR 10.x10.0.4、Thunderbird 5.0 到 11.0中的 mozilla::dom::indexedDB::IDBKeyRange::cycleCollection::Trace 函式存在釋放後使用弱點、 10.0.4之前的 Thunderbird ESR 10.x 和 2.9 之前的 SeaMonkey 允許遠端攻擊者透過與特製 IndexedDB 資料相關的向量執行任意程式碼。
CVE-2012-0470 在 Mozilla Firefox 4.x 至 11.0、[] 之前的 Firefox ESR 10.x10.0.4、 Thunderbird 5.0 至 11.0、[ 10.0.4之前的 Thunderbird ESR 10.x 以及之前的 SeaMonkey 2.9 允許遠端攻擊者利用不同號碼系統造成拒絕服務 (無效的 gfxImageSurface 釋放作業) 或可能執行任意程式碼。
CVE-2012-0471 Mozilla Firefox 4.x 至 11.0、Firefox ESR 10.x 之前的 10.0.4、Thunderbird 5.0 至 11.0、Thunderbird ESR 10.x 之前的 10.0.4以及 SeaMonkey 之前的 2.9 中的跨網站指令碼 (XSS) 弱點可讓遠端攻擊者透過多位元組字元集插入任意 Web 指令碼或 HTML。
CVE-2012-04724.x10.0.4當 5.0 某些 11.0Windows 10.x Vista 11.0和 10.x 10.0.4 2.9使用 Windows 7 組態時未正確限製字型轉譯嘗試其允許遠端攻擊者透過不明向量造成拒絕服務 (記憶體損毀) 或可能執行任意程式碼。
CVE-2012-0473 Mozilla Firefox 4.x 至 11.0、 10.0.4之前的 Firefox ESR 10.x 、Thunderbird 5.0 至 11.0、Thunderbird ESR 10.x 之前的 10.0.4以及 SeaMonkey 之前的 2.9 中的 WebGLBuffer::FindMaxUshortElement 函式以錯誤的範本引數其允許遠端攻擊者透過特製的 WebGL.drawElements 呼叫從視訊記憶體取得敏感資訊。
CVE-2012-0474 Mozilla Firefox 4.x 至 11.0、 10.0.4之前的 Firefox ESR 10.x ]、Thunderbird 5.0 至 11.0、[] 之前的 Thunderbird 10.x 以及 SeaMonkey 之前的 10.0.42.9 之docshell 實作中的跨網站指令碼 (XSS) 弱點允許遠端攻擊者透過與取消頁面載入相關的向量 (即 Universal XSS (UXSS)) 插入任意 Web 指令碼或 HTML。
CVE-2012-0477 在 Mozilla Firefox 4.x 到 11.0、Firefox ESR 10.x 之前的 10.0.4、Thunderbird 5.0 到 11.0、Thunderbird ESR 10.x 之前的 10.0.4以及 SeaMonkey 之前的 2.9 中WebGL 子系統的 texImage2D 實作未正確限制JSVAL_TO_OBJECT 轉換其可能允許遠端攻擊者透過特製網頁執行任意程式碼。
CVE-2012-0478 在 Mozilla Firefox 4.x 到 11.0、Firefox ESR 10.x 之前的 10.0.4、Thunderbird 5.0 到 11.0、Thunderbird ESR 10.x 之前的 10.0.4以及 SeaMonkey 之前的 2.9 中WebGL 子系統的 texImage2D 實作未正確限制JSVAL_TO_OBJECT 轉換其可能允許遠端攻擊者透過特製網頁執行任意程式碼。
CVE-2012-0479 Mozilla Firefox 4.x 至 11.0、Firefox ESR 10.x 之前的 10.0.4、Thunderbird 5.0 至 11.0、Thunderbird ESR 10.x 之前的 10.0.4以及 SeaMonkey 之前的 2.9 允許遠端攻擊者透過 https URL 偽造位址列針對無效的 (1) RSS 或 (2) Atom XML 內容。
CVE-2012-1948 在 Mozilla Firefox 4.x 至 13.0、Firefox ESR 10.x 之前 10.0.6、Thunderbird 5.0 至 13.0、Thunderbird ESR 10.x 之前 10.0.6以及 SeaMonkey 之前 2.11 中瀏覽器引擎有多個不明弱點允許遠端攻擊者會透過未知向量造成拒絕服務 (記憶體損毀和應用程式損毀)或可能執行任意程式碼。
CVE-2012-1950 Mozilla Firefox 4.x 至 13.0 以及 Firefox ESR 10.x10.0.6 之前的版本中的拖放實作允許遠端攻擊者取消頁面載入藉此偽造位址列。
CVE-2012-1951 Mozilla Firefox 4.x 至 13.0、Firefox ESR 10.x 之前的 10.0.6、Thunderbird 5.0 至 13.0、Thunderbird ESR 10.x 之前的 10.0.6以及 SeaMonkey 之前的 nsSMILTimeValueSpec::IsEventBased 函式中存在釋放後使用弱點 2.11 允許遠端攻擊者與 SMIL Timing 所用的物件互動造成拒絕服務 (堆積記憶體損毀) 或可能執行任意程式碼。
CVE-2012-1952 在 Mozilla Firefox 4.x 至 13.0、 10.0.6之前的 Firefox ESR 10.x 、Thunderbird 5.0 至 13.0、Thunderbird ESR 10.x 之前的 10.0.6以及 SeaMonkey 之前的 2.11 中nsTableFrame::InsertFrames 函式未正確執行在處理混合的列群組和欄群組框架期間發生框架變數轉換進而可能允許遠端攻擊者透過特製的網站執行任意程式碼。
CVE-2012-1953 Mozilla Firefox 4.x 到 13.0、 10.0.6之前的 Firefox ESR 10.x 、Thunderbird 5.0 到 13.0、Thunderbird ESR 10.x 之前的 10.0.6以及 SeaMonkey 之前的 2.11 中的 ElementAnimations::EnsureStyleRuleFor 函式允許遠端攻擊者造成會透過特製的網站導致拒絕服務 (緩衝區過度讀取、不正確的指標解除參照和堆積型緩衝區溢位) 或可能執行任意程式碼。
CVE-2012-1954 Mozilla Firefox 4.x 至 13.0、Firefox ESR 10.x 之前的 10.0.6、Thunderbird 5.0 至 13.0、Thunderbird ESR 10.x 之前的 10.0.6以及 SeaMonkey 之前的版本中的 nsDocument::AdoptNode 函式存在釋放後使用弱點 2.11 允許遠端攻擊者透過涉及多次採用和空白文件的向量造成拒絕服務 (堆積記憶體損毀) 或可能執行任意程式碼。
CVE-2012-1955 Mozilla Firefox 4.x 至 13.0、Firefox ESR 10.x 之前的 Firefox 10.0.6、Thunderbird 5.0 至 13.0、Thunderbird ESR 10.x 之前的 10.0.6以及 SeaMonkey 之前的 2.11 允許遠端攻擊者透過涉及歷程記錄的向量偽造位址列.forward 和 history.back 呼叫。
CVE-2012-1957 Mozilla Firefox 4.x 至 13.0之前的 Firefox ESR 10.x10.0.6[] 之前的 Firefox 、Thunderbird 5.0 至 13.0、Thunderbird ESR 10.x 之前的 10.0.6以及 SeaMonkey 之前的 2.11 中不明的剖析器公用程式類別並未正確處理 EMBED內的 RSS 摘要中的描述元素這會允許遠端攻擊者透過摘要發動跨網站指令碼 (XSS) 攻擊。
CVE-2012-1958 Mozilla Firefox 4.x 至 13.0、Firefox ESR 10.x 之前 10.0.6、Thunderbird 5.0 至 13.0、Thunderbird ESR 10.x 之前的 10.0.6以及 SeaMonkey 之前的版本中的 nsGlobalWindow::PageHidden 函式存在釋放後使用弱點 2.11 可能允許遠端攻擊者透過與焦點內容相關的向量執行任意程式碼。
CVE-2012-1959 Mozilla Firefox 4.x 至 13.0、Firefox ESR 10.x 之前的 10.0.6、Thunderbird 5.0 至 13.0、Thunderbird ESR 10.x 之前的 10.0.6以及 SeaMonkey 之前的 2.11 不考慮相同區間安全性包裝函式的存在 ( SCSW) 的跨區間包裝物件期間其允許遠端攻擊者透過特製內容繞過預定的 XBL 存取限制。
CVE-2012-1961 Mozilla Firefox 4.x 至 13.0、Firefox ESR 10.x 之前的 10.0.6、Thunderbird 5.0 至 13.0、Thunderbird ESR 10.x 之前的 10.0.6以及 SeaMonkey 之前的 2.11 未正確處理 X-Frame-Options 中的重複值這會讓遠端攻擊者更容易透過參照會產生這些重複值之網站的 FRAME 元素發動點擊劫持攻擊。
CVE-2012-1962 Mozilla Firefox 4.x 至 13.0、Firefox ESR 10.x 之前的 10.0.6、Thunderbird 5.0 至 13.0、Thunderbird ESR 10.x 之前的 10.0.6以及 SeaMonkey 之前的版本中的 JSDependentString::undepend 函式存在釋放後使用弱點 2.11 允許遠端攻擊者透過涉及具有多個相依性之字串的向量造成拒絕服務 (記憶體損毀)或可能執行任意程式碼。
CVE-2012-1963 在 Mozilla Firefox 4.x 至 13.0、Firefox ESR 10.x 之前 10.0.6、Thunderbird 5.0 至 13.0、Thunderbird ESR 10.x 之前 10.0.6以及 SeaMonkey 之前 2.11 中的內容安全性原則 (CSP) 功能無法與限制放置到違規報告的 blocked-uri 參數中的字串其允許遠端 Web 伺服器觸發違規進而擷取 OpenID 認證和 OAuth 2.0 存取 token。
CVE-2012-1964 在 Mozilla Firefox 4.x 至 12.0、[] 之前的 Firefox ESR 10.x10.0.6、Thunderbird 5.0 至 12.0、Thunderbird ESR 10.x 之前的 10.0.6中 browser/components/certerror/content/aboutCertError.xhtml 的憑證警告功能、及 2.10 之前的 SeaMonkey 未正確處理嘗試的 about:certerror 頁麵點擊劫持其允許攔截式攻擊者透過 IFRAME 元素誘騙使用者新增非預定的例外狀況。
CVE-2012-1965 Mozilla Firefox 4.x 至 13.0 和 Firefox ESR 10.x 之前的 10.0.6 未正確建立 feed: URL 的安全性內容進而允許遠端攻擊者透過 feed: URL 繞過不明的跨網站指令碼 (XSS) 保護機制javascriptURL。
CVE-2012-1966 Mozilla Firefox 4.x 到 13.0 以及 Firefox ESR 10.x 在 10.0.6 之前的版本對於 data: URL 的內容功能表限制與 javascript: URL 的內容功能表限制不同而允許遠端攻擊者發動跨網站指令碼 (XSS) 攻擊透過特製的 URL。
CVE-2012-1967 Mozilla Firefox 4.x 至 13.0、Firefox ESR 10.x 之前的 10.0.6、Thunderbird 5.0 至 13.0、Thunderbird ESR 10.x 之前的 10.0.6以及 SeaMonkey 之前的 2.11 未正確實作 JavaScript 沙箱公用程式其允許遠端攻擊者可透過 javascript: URL 以不當權限執行任意 JavaScript 程式碼。

Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的 firefox 和/或 xulrunner 套件。

另請參閱

https://tsn.miraclelinux.com/en/node/3416

Plugin 詳細資訊

嚴重性: Medium

ID: 283914

檔案名稱: miracle_linux_AXSA-2012-874.nasl

版本: 1.1

類型: local

系列: Miracle Linux Local Security Checks

已發布: 2026/1/14

已更新: 2026/1/14

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: High

分數: 8.8

Vendor

Vendor Severity: High

CVSS v2

風險因素: Critical

基本分數: 10

時間性分數: 8.7

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2012-1954

CVSS v3

風險因素: Medium

基本分數: 6.1

時間性分數: 5.8

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

時間媒介: CVSS:3.0/E:H/RL:O/RC:C

CVSS 評分資料來源: CVE-2012-1957

弱點資訊

CPE: p-cpe:/a:miracle:linux:firefox, p-cpe:/a:miracle:linux:xulrunner, cpe:/o:miracle:linux:4

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2012/9/12

弱點發布日期: 2012/3/28

參考資訊

CVE: CVE-2011-3062, CVE-2012-0467, CVE-2012-0468, CVE-2012-0469, CVE-2012-0470, CVE-2012-0471, CVE-2012-0472, CVE-2012-0473, CVE-2012-0474, CVE-2012-0477, CVE-2012-0478, CVE-2012-0479, CVE-2012-1948, CVE-2012-1950, CVE-2012-1951, CVE-2012-1952, CVE-2012-1953, CVE-2012-1954, CVE-2012-1955, CVE-2012-1957