偵測

SuSE 11.3 安全性更新:Mozilla Firefox (SAT 修補程式編號 8491)

critical Nessus Plugin ID 70933

語系:

概要

遠端 SuSE 11 主機缺少一個或多個安全性更新。

說明

Mozilla Firefox 已更新至 17.0.10ESR 版,可修正多種錯誤和安全性問題:

Mozilla 開發人員已發現並修正 Firefox 和其他 Mozilla 相關產品所使用之瀏覽器引擎的數個記憶體安全性錯誤。某些錯誤顯示,記憶體在特定情況下會遭到損毀,我們推測若有心人士有意操控,可至少惡意利用其中部分錯誤執行任意程式碼。(MFSA 2013-93)

Jesse Ruderman 和 Christoph Diehl 報告,存在多個影響 Firefox ESR 17、Firefox ESR 24 和 Firefox 24 的記憶體安全問題和當機情況。(CVE-2013-5590)

Carsten Book 報告對於 Firefox 25、Firefox ESR 24.1 和 Firefox ESR 17.0.10 中已修正的 Mozilla 產品,在其所用的 NSS 程式庫中有一個損毀問題,現也已修正。
 (CVE-2013-1739)

- Google Chrome 安全性團隊的安全性研究人員 Abhishek Arya (Inferno) 使用位址偵察工具發現,在可延伸樣式表語言轉換 (XSLT) 處理過程中,未初始化的資料引起了一個存取違規問題。這可能會導致潛在的惡意利用當機。(MFSA 2013-95 / CVE-2013-5604)

- Google 的編譯器工程師 Dan Gohman 發現,JavaScript 引擎中存有一個瑕疵,記憶體並未正確配置給某些函式,且配置呼叫不一定每次都會正確檢查溢位,進而可能會導致緩衝區溢位。此瑕疵若結合其他弱點,就可能遭到惡意利用。(MFSA 2013-96 / CVE-2013-5595)

- Georgia Tech 資訊安全中心 (GTISC) 的安全性研究人員 Byoungyoung Lee 利用位址偵察工具發現,更新離線快取時,狀態變更事件過程中存在一個釋放後使用問題。這可能會導致潛在的惡意利用當機。(MFSA 2013-98 / CVE-2013-5597)

- 安全性研究人員 Nils 在模糊測試時利用位址偵察工具發現,瀏覽器引擎中缺少強式參照,進而導致釋放後使用問題。這會導致可能遭惡意利用的當機。(MFSA 2013-100)

- 具有 canvas、onresize 和 mozTextStyle 的 nsIPresShell::GetPresContext() 中存有一個 ASAN 堆積釋放後使用問題。(CVE-2013-5599)

- 具有 Blob URL 的 nsIOService::NewChannelFromURIWithProxyFlags 中存有一個 ASAN 釋放後使用問題。(CVE-2013-5600)

- nsEventListenerManager::SetEventHandler 的 GC 配置有一個 ASAN 釋放後使用問題。(CVE-2013-5601)

- 安全性研究人員 Nils 使用位址偵察工具進行模糊測試時,發現使用具有直接 proxy 的背景工作時,JavaScript 引擎中有一個記憶體損毀問題。這會造成可能遭惡意利用的當機。(MFSA 2013-101 / CVE-2013-5602)

解決方案

套用 SAT 修補程式編號 8491。

另請參閱

http://www.mozilla.org/security/announce/2013/mfsa2013-100.html

http://www.mozilla.org/security/announce/2013/mfsa2013-101.html

http://www.mozilla.org/security/announce/2013/mfsa2013-93.html

http://www.mozilla.org/security/announce/2013/mfsa2013-95.html

http://www.mozilla.org/security/announce/2013/mfsa2013-96.html

http://www.mozilla.org/security/announce/2013/mfsa2013-98.html

https://bugzilla.novell.com/show_bug.cgi?id=847708

http://support.novell.com/security/cve/CVE-2013-1739.html

http://support.novell.com/security/cve/CVE-2013-5590.html

http://support.novell.com/security/cve/CVE-2013-5595.html

http://support.novell.com/security/cve/CVE-2013-5597.html

http://support.novell.com/security/cve/CVE-2013-5599.html

http://support.novell.com/security/cve/CVE-2013-5600.html

http://support.novell.com/security/cve/CVE-2013-5601.html

http://support.novell.com/security/cve/CVE-2013-5602.html

http://support.novell.com/security/cve/CVE-2013-5604.html

Plugin 詳細資訊

嚴重性: Critical

ID: 70933

檔案名稱: suse_11_firefox-201310-131101.nasl

版本: 1.6

類型: local

代理程式: unix

已發布: 2013/11/17

已更新: 2021/1/19

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: Critical

基本分數: 10

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

弱點資訊

CPE: p-cpe:/a:novell:suse_linux:11:mozillafirefox, p-cpe:/a:novell:suse_linux:11:mozillafirefox-branding-sled, p-cpe:/a:novell:suse_linux:11:mozillafirefox-translations, cpe:/o:novell:suse_linux:11

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

修補程式發佈日期: 2013/11/1

參考資訊

CVE: CVE-2013-1739, CVE-2013-5590, CVE-2013-5595, CVE-2013-5597, CVE-2013-5599, CVE-2013-5600, CVE-2013-5601, CVE-2013-5602, CVE-2013-5604