Scientific Linux 安全性更新：SL4.x、SL5.x i386/x86_64 上的 firefox

critical Nessus Plugin ID 60966

語系：

概要

遠端 Scientific Linux 主機缺少一個或多個安全性更新。

說明

在 Firefox 用於清理延伸模組中 HTML 內容的方法中，發現一個瑕疵。如果延伸模組使用 ParanoidFragmentSink 類別載入或轉譯惡意內容，就會無法安全顯示內容，從而導致 Firefox 利用執行 Firefox 之使用者的權限，執行任意 JavaScript。(CVE-2010-1585)

在 Firefox 用於處理對話方塊的方式中發現一個瑕疵。攻擊者可利用此瑕疵建立一個惡意網頁，網頁中會顯示空白對話方塊，而其中的按鈕將不會有任何作用。如果使用者將對話方塊視窗關閉，就可意外授予提升權限給這個惡意網頁。(CVE-2011-0051)

處理格式有誤之網頁內容時發現多個瑕疵。包含惡意內容的網頁可造成 Firefox 損毀，或可能利用執行 Firefox 之使用者的權限來執行任意程式碼。(CVE-2011-0053、CVE-2011-0055、CVE-2011-0058、CVE-2011-0062)

在 Firefox 處理格式錯誤之 JavaScript 的方式中發現數個瑕疵。含有惡意 JavaScript 的網站可導致 Firefox 利用執行 Firefox 之使用者的權限，執行該 JavaScript。(CVE-2011-0054、CVE-2011-0056、CVE-2011-0057)

在 Firefox 處理格式錯誤的 JPEG 影像的方式中發現一個瑕疵。含有惡意 JPEG 影像的網站可導致 Firefox 損毀，亦可能會以執行 Firefox 之使用者的權限，執行任意程式碼。(CVE-2011-0061)

在 Firefox 用於處理執行 HTTP 要求之外掛程式的方法中發現一個瑕疵。如果有外掛程式執行 HTTP 要求，而伺服器傳送了 307 重新導向回應，外掛程式不會收到通知，但系統會轉寄 HTTP 要求。轉寄的要求可包含自訂標頭，從而導致跨網站要求偽造攻擊。
(CVE-2011-0059)

您可在此錯字勘誤表的<參照>一節中找到 Mozilla 公告的連結。