Ubuntu 11.04：libvoikko 迴歸 (USN-1192-3)

critical Nessus Plugin ID 56562

語系：

新推出！弱點優先順序評分 (VPR)

Tenable 會為每個弱點計算動態 VPR。VPR 將弱點資訊與威脅情報和機器學習演算法加以結合，藉此預測攻擊者最有可能利用哪些弱點發動攻擊。查看詳細資訊： VPR 是什麼？它跟 CVSS 有何不同？

VPR 評分： 5.9

Synopsis

遠端 Ubuntu 主機缺少安全性相關修補程式。

描述

USN-1192-1 提供 Firefox 6 做為安全性升級。遺憾的是，這造成 libvoikko 中出現一個迴歸，進而造成 Firefox 在對含有連字號的文字進行拼字檢查時損毀。此項更新修正了該問題。由此給您帶來的不便，我們深表歉意。

Aral Yaman 發現 WebGL 引擎中有一個弱點。攻擊者可能利用此弱點，使 Firefox 損毀，或以叫用 Firefox 的使用者權限執行任意程式碼。(CVE-2011-2989)

Vivekanand Bolajwar 發現 JavaScript 引擎中有一個弱點。攻擊者可能利用此弱點，使 Firefox 損毀，或以叫用 Firefox 的使用者權限執行任意程式碼。(CVE-2011-2991)

Bert Hubert 和 Theo Snelleman 發現 Ogg 閱讀程式中有一個弱點。攻擊者可能利用此弱點，使 Firefox 損毀，或以叫用 Firefox 的使用者權限執行任意程式碼。(CVE-2011-2991)

Robert Kaiser、Jesse Ruderman、Gary Kwong、Christoph Diehl、Martijn Wargers、Travis Emmitt、Bob Clary 和 Jonathan Watt 發現瀏覽器轉譯引擎中有多個記憶體弱點。攻擊者可利用這些弱點，以叫用 Firefox 的使用者權限執行任意程式碼。(CVE-2011-2985)

Rafael Gieschke 發現未簽署的 JavaScript 可呼叫簽署的 JAR 內的指令碼。這可讓攻擊者以簽署的 JAR 的身分和權限執行任意程式碼。(CVE-2011-2993)

Michael Jordon 發現過長著色器程式可導致緩衝區滿溢。攻擊者可能利用此弱點，使 Firefox 損毀，或以叫用 Firefox 的使用者權限執行任意程式碼。(CVE-2011-2988)

Michael Jordon 發現，Firefox 的 WebGL 實作所使用的 ANGLE 程式庫中存有一個堆積溢位瑕疵。攻擊者可能利用此弱點，使 Firefox 損毀，或以叫用 Firefox 的使用者權限執行任意程式碼。(CVE-2011-2987)

據發現，SVG 文字操控常式含有懸置指標弱點。攻擊者可能利用此弱點，使 Firefox 損毀，或以叫用 Firefox 的使用者權限執行任意程式碼。(CVE-2011-0084)

Mike Cardwell 發現，內容安全性原則驗證報告無法從要求標題清單中去除 Proxy 授權認證。這可讓惡意網站擷取 Proxy 授權認證。Daniel Veditz 發現，重新導向至具有內容安全性原則的網站，會導致錯誤解析建構原則中的主機。
這可讓惡意網站規避其他網站的內容安全性原則。(CVE-2011-2990)。