偵測

Ubuntu 11.04 / 11.10 : firefox 弱點 (USN-1277-1)

critical Nessus Plugin ID 56944

語系:

概要

遠端 Ubuntu 主機缺少安全性相關修補程式。

說明

Yosuke Hasegawa 發現 Mozilla 瀏覽器引擎錯誤處理 Shift-JIS 編碼中的無效序列。若在不使用偵錯 API 的情況下觸發此損毀情況,可能會讓惡意網站惡意利用此弱點。攻擊者可能利用此瑕疵來竊取資料,或將惡意指令碼插入到 web 內容。(CVE-2011-3648)

Marc Schoenefeld 發現使用 Firebug 分析帶多個函式的 JavaScript 檔案,可導致 Firefox 損毀。攻擊者可在不使用除錯 API 的情況下,惡意利用此問題,可能遠端造成瀏覽器損毀,從而導致拒絕服務。(CVE-2011-3650)

Jason Orendorff、Boris Zbarsky、Gregg Tavares、Mats Palmgren、Christian Holler、Jesse Ruderman、Simona Marcu、Bob Clary 和 William McCloskey 發現,Firefox 及其他 Mozilla 產品所用的瀏覽器引擎中存在多個記憶體安全性錯誤。攻擊者可利用這些瑕疵,以叫用 Firefox 的使用者權限,執行任意程式碼,或可能損毀瀏覽器,從而導致拒絕服務。(CVE-2011-3651)

據發現,Firefox 可在某些情況下,因未檢查配置失敗而發生損毀,從而導致拒絕服務。攻擊者或許也可以叫用 Firefox 的使用者權限執行任意程式碼。(CVE-2011-3652)

Aki Helin 發現 Firefox 未正確處理從 SVG mpath 元素到非 SVG 元素的連結。攻擊者可利用此弱點損毀 Firefox,進而導致拒絕服務,或可能以叫用 Firefox 的使用者權限,執行任意程式碼。(CVE-2011-3654)

據發現,內部權限檢查未遵循 Firefox 4 引入的 NoWaiverWrappers。攻擊者可能利用此弱點,在 Web 內容的瀏覽器中,取得提升權限。(CVE-2011-3655)。

解決方案

更新受影響的 firefox 套件。

另請參閱

https://usn.ubuntu.com/1277-1/

Plugin 詳細資訊

嚴重性: Critical

ID: 56944

檔案名稱: ubuntu_USN-1277-1.nasl

版本: 1.10

類型: local

代理程式: unix

已發布: 2011/11/26

已更新: 2019/9/19

支援的感應器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: Critical

基本分數: 10

時間分數: 7.4

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

弱點資訊

CPE: p-cpe:/a:canonical:ubuntu_linux:firefox, cpe:/o:canonical:ubuntu_linux:11.04, cpe:/o:canonical:ubuntu_linux:11.10

必要的 KB 項目: Host/cpu, Host/Ubuntu, Host/Ubuntu/release, Host/Debian/dpkg-l

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2011/11/23

弱點發布日期: 2011/11/9

參考資訊

CVE: CVE-2011-3648, CVE-2011-3650, CVE-2011-3651, CVE-2011-3652, CVE-2011-3654, CVE-2011-3655

BID: 50593, 50594, 50595, 50597, 50600, 50602

USN: 1277-1