偵測

Scientific Linux 安全性更新:SL5.x、SL6.x i386/x86_64 上的 firefox

critical Nessus Plugin ID 62492

語系:

概要

遠端 Scientific Linux 主機缺少一個或多個安全性更新。

說明

Mozilla Firefox 是開放原始碼的網頁瀏覽器。XULRunner 為 Mozilla Firefox 提供 XUL 執行階段環境。

處理格式有誤之網頁內容時發現多個瑕疵。包含惡意內容的網頁可造成 Firefox 損毀,或可能利用執行 Firefox 之使用者的權限來執行任意程式碼。(CVE-2012-3982、CVE-2012-3988、CVE-2012-3990、CVE-2012-3995、CVE-2012-4179、CVE-2012-4180、CVE-2012-4181、CVE-2012-4182、CVE-2012-4183、CVE-2012-4185、CVE-2012-4186、CVE-2012-4187、CVE-2012-4188)

Firefox 中有兩個瑕疵,可允許惡意網站繞過預定的限制,進而導致資訊洩漏,或讓 Firefox 執行任意程式碼。請注意,資訊洩漏問題很可能與其他瑕疵結合用來執行任意程式碼。(CVE-2012-3986、CVE-2012-3991)

在 Firefox 的位置物件實作中發現多個瑕疵。惡意內容可被用來執行跨網站指令碼攻擊、指令碼插入或偽造攻擊。
(CVE-2012-1956、CVE-2012-3992、CVE-2012-3994)

在實作 Chrome Object Wrappers 的方式中發現兩個瑕疵。惡意內容可被用來執行跨網站指令碼攻擊或導致 Firefox 執行任意程式碼。
(CVE-2012-3993、CVE-2012-4184)

如需這些瑕疵的詳細技術資訊,請參閱 Firefox 10.0.8 ESR 的 Mozilla 安全性公告。

此更新也可修正下列錯誤:

- 在某些情況下,將個人的 Firefox 組態檔 (~/.mozilla/) 儲存在 NFS 共用上 (例如當您的主目錄位於 NFS 共用上時) 會導致 Firefox 運作錯誤,例如,導覽按鈕未如預期運作,以及書籤未儲存。此更新會新增新的組態選項 storage.nfs_filesystem,可用來解決此問題。

如果您碰到此問題:

1) 啟動 Firefox。

2) 在 URL 列中輸入「about:config」(不含引號),然後按下 Enter 鍵。

3) 如果出現提示「這可能會讓保固失效!」,請按一下「我保證一定會小心!」按鈕。

4) 在 [偏好設定名稱] 清單中按一下滑鼠右鍵。在開啟的功能表中,選取 [新增] -> [布林值]。

5) 偏好設定名稱輸入「storage.nfs_filesystem」(不含引號),然後按一下 [確定] 按鈕。

6) 布林值選取 [true],然後按下 [確定] 按鈕。

安裝更新之後,Firefox 必須重新啟動,變更才會生效。

解決方案

更新受影響的 firefox、xulrunner 和/或 xulrunner-devel 套件。

另請參閱

http://www.nessus.org/u?14219b9c

Plugin 詳細資訊

嚴重性: Critical

ID: 62492

檔案名稱: sl_20121009_firefox_on_SL5_x.nasl

版本: 1.14

類型: local

代理程式: unix

已發布: 2012/10/11

已更新: 2021/1/14

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: High

分數: 8.9

CVSS v2

風險因素: Critical

基本分數: 10

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

弱點資訊

CPE: p-cpe:/a:fermilab:scientific_linux:firefox, p-cpe:/a:fermilab:scientific_linux:xulrunner, p-cpe:/a:fermilab:scientific_linux:xulrunner-devel, x-cpe:/o:fermilab:scientific_linux

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2012/10/9

弱點發布日期: 2012/8/29

可惡意利用

Metasploit (Firefox 5.0 - 15.0.1 __exposedProps__ XCS Code Execution)

參考資訊

CVE: CVE-2012-1956, CVE-2012-3982, CVE-2012-3986, CVE-2012-3988, CVE-2012-3990, CVE-2012-3991, CVE-2012-3992, CVE-2012-3993, CVE-2012-3994, CVE-2012-3995, CVE-2012-4179, CVE-2012-4180, CVE-2012-4181, CVE-2012-4182, CVE-2012-4183, CVE-2012-4184, CVE-2012-4185, CVE-2012-4186, CVE-2012-4187, CVE-2012-4188