偵測

Ubuntu 12.04 LTS / 12.10 / 13.04 / 13.10:firefox 弱點 (USN-2009-1)

critical Nessus Plugin ID 70698

語系:

概要

遠端 Ubuntu 主機缺少安全性相關修補程式。

說明

在 Firefox 中發現多個記憶體安全問題。如果使用者遭到誘騙而開啟特製的頁面,攻擊者就可能利用這些弱點,透過應用程式損毀引發拒絕服務,或可能利用叫用 Firefox 的使用者權限執行任意程式碼。(CVE-2013-1739、CVE-2013-5590、CVE-2013-5591、CVE-2013-5592)

Jordi Chancel 發現 HTML select 元素可顯示任意內容。攻擊者可能惡意利用此弱點來發動 URL 偽造或點擊劫持攻擊 (CVE-2013-5593)

Abhishek Arya 發現,在某些情況下處理 XSLT 資料時會發生損毀。攻擊者可能利用此弱點,以叫用 Firefox 之使用者的權限執行任意程式碼。
(CVE-2013-5604)

Dan Gohman 發現 JavaScript 引擎中有一個瑕疵。若與其他弱點結合,攻擊者可能惡意利用此瑕疵,以叫用 Firefox 之使用者的權限執行任意程式碼。(CVE-2013-5595)

Ezra Pool 發現極大型網頁有損毀問題。攻擊者可能利用此弱點,以叫用 Firefox 之使用者的權限執行任意程式碼。(CVE-2013-5596)

Byoungyoung Lee 發現在更新離線快取時有一個釋放後使用錯誤。攻擊者可能加以惡意利用,藉由損毀應用程式引發拒絕服務,或以叫用 Firefox 的使用者權限執行任意程式碼。(CVE-2013-5597)

Cody Crews 發現有一個方法可將 iframe 附加至與 PDF.js 一起顯示的內嵌 PDF 物件中。攻擊者可能惡意利用此弱點來讀取本機檔案,進而導致資訊洩漏。
(CVE-2013-5598)

在 Firefox 中發現多個釋放後使用瑕疵。攻擊者可能惡意利用這些瑕疵,透過應用程式損毀造成拒絕服務,或是以叫用 Firefox 的使用者權限執行任意程式碼。(CVE-2013-5599、CVE-2013-5600、CVE-2013-5601)

使用含有直接 proxy 的 workers 時,在 JavaScript 引擎中發現一個記憶體損毀瑕疵。攻擊者可能加以惡意利用,藉由損毀應用程式引發拒絕服務,或以叫用 Firefox 的使用者權限執行任意程式碼。(CVE-2013-5602)

Abhishek Arya 在互動使用 HTML 文件範本時發現一個釋放後使用錯誤。攻擊者可能加以惡意利用,藉由損毀應用程式引發拒絕服務,或以叫用 Firefox 的使用者權限執行任意程式碼。(CVE-2013-5603)。

解決方案

更新受影響的 firefox 套件。

另請參閱

https://usn.ubuntu.com/2009-1/

Plugin 詳細資訊

嚴重性: Critical

ID: 70698

檔案名稱: ubuntu_USN-2009-1.nasl

版本: 1.14

類型: local

代理程式: unix

已發布: 2013/10/30

已更新: 2019/9/19

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: Critical

基本分數: 10

時間分數: 7.4

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

弱點資訊

CPE: p-cpe:/a:canonical:ubuntu_linux:firefox, cpe:/o:canonical:ubuntu_linux:12.04:-:lts, cpe:/o:canonical:ubuntu_linux:12.10, cpe:/o:canonical:ubuntu_linux:13.04, cpe:/o:canonical:ubuntu_linux:13.10

必要的 KB 項目: Host/cpu, Host/Debian/dpkg-l, Host/Ubuntu, Host/Ubuntu/release

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2013/10/29

弱點發布日期: 2013/10/22

參考資訊

CVE: CVE-2013-1739, CVE-2013-5590, CVE-2013-5591, CVE-2013-5592, CVE-2013-5593, CVE-2013-5595, CVE-2013-5596, CVE-2013-5597, CVE-2013-5598, CVE-2013-5599, CVE-2013-5600, CVE-2013-5601, CVE-2013-5602, CVE-2013-5603, CVE-2013-5604

BID: 63405, 63419, 63421, 63430

USN: 2009-1