Ubuntu 12.04 LTS / 12.10 / 13.04 / 13.10:firefox 弱點 (USN-2052-1)

critical Nessus Plugin ID 71374

概要

遠端 Ubuntu 主機缺少安全性相關修補程式。

說明

Ben Turner、Bobby Holley、Jesse Ruderman、Christian Holler 和 Christoph Diehl 發現 Firefox 中有多個記憶體安全性問題。
如果使用者遭到誘騙而開啟特製網站,攻擊者可能加以惡意利用,透過損毀應用程式來引發拒絕服務,或以叫用 Firefox 的使用者權限執行任意程式碼。(CVE-2013-5609、CVE-2013-5610)

Myk Melez 發現,頁面導覽之間會持續出現 Web 應用程式安裝的門鉤通知。攻擊者可能惡意利用此瑕疵發動點擊劫持攻擊。
(CVE-2013-5611)

Masato Kinugawa 發現,缺少字元集編碼資訊的頁面可繼承來自其他網域的跨導覽字元編碼。攻擊者可能惡意利用此弱點來進行跨網站指令碼攻擊。(CVE-2013-5612)

Daniel Veditz 發現,沙箱化 iframe 可使用物件元素繞過本身的限制。(CVE-2013-5614)

Tyson Smith 和 Jesse Schwartzentruber 發現事件接聽程式中有釋放後使用錯誤。攻擊者可能加以惡意利用,藉由損毀應用程式引發拒絕服務,或以叫用 Firefox 的使用者權限執行任意程式碼。(CVE-2013-5616)

在表格編輯介面中發現釋放後使用錯誤。攻擊者可能加以惡意利用,藉由損毀應用程式引發拒絕服務,或以叫用 Firefox 的使用者權限執行任意程式碼。(CVE-2013-5618)

Dan Gohman 發現,Spidermonkey 的二進位搜尋演算法所用的算術有多處容易發生溢位問題。不過,一般認為這個問題不會遭到惡意利用。(CVE-2013-5619)

Tyson Smith 和 Jesse Schwartzentruber 發現,使用指令碼在文件中插入指定的清單時會當機。攻擊者可能利用此弱點,以叫用 Firefox 之使用者的權限執行任意程式碼。(CVE-2013-6671)

Vincent Lefevre 發現,Web 內容在某些情況下可存取剪貼簿的資料,其可導致資訊洩漏。
(CVE-2013-6672)

Sijie Xia 發現,內建 EV root 憑證的信任設定在特定情況下會遭到忽略,導致使用者無法手動不信任來自特定授權單位的憑證。(CVE-2013-6673)

Tyson Smith、Jesse Schwartzentruber 和 Atte Kettunen 發現,綜合滑鼠移動處理的函式中出現釋放後使用錯誤。攻擊者可能加以惡意利用,藉由損毀應用程式引發拒絕服務,或以叫用 Firefox 的使用者權限執行任意程式碼。(CVE-2013-5613)

Eric Faust 發現,GetElementIC 型別陣列虛設常式可在觀察到的排版之外產生。攻擊者便可能加以惡意利用,造成伴隨潛在安全性影響的未定義行為。(CVE-2013-5615)

Michal Zalewski 發現 JPEG 影像處理存在數個問題。攻擊者可能惡意利用這些問題以取得敏感資訊。(CVE-2013-6629、CVE-2013-6630)。

解決方案

更新受影響的 firefox 套件。

另請參閱

https://usn.ubuntu.com/2052-1/

Plugin 詳細資訊

嚴重性: Critical

ID: 71374

檔案名稱: ubuntu_USN-2052-1.nasl

版本: 1.11

類型: local

代理程式: unix

已發布: 2013/12/12

已更新: 2019/9/19

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

風險資訊

VPR

風險因素: High

分數: 7.3

CVSS v2

風險因素: Critical

基本分數: 10

時間分數: 7.4

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

弱點資訊

CPE: cpe:/o:canonical:ubuntu_linux:12.04:-:lts, cpe:/o:canonical:ubuntu_linux:12.10, cpe:/o:canonical:ubuntu_linux:13.04, cpe:/o:canonical:ubuntu_linux:13.10, p-cpe:/a:canonical:ubuntu_linux:firefox

必要的 KB 項目: Host/cpu, Host/Debian/dpkg-l, Host/Ubuntu, Host/Ubuntu/release

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2013/12/11

弱點發布日期: 2013/11/18

參考資訊

CVE: CVE-2013-5609, CVE-2013-5610, CVE-2013-5611, CVE-2013-5612, CVE-2013-5613, CVE-2013-5614, CVE-2013-5615, CVE-2013-5616, CVE-2013-5618, CVE-2013-5619, CVE-2013-6629, CVE-2013-6630, CVE-2013-6671, CVE-2013-6672, CVE-2013-6673

BID: 63676, 63679, 64203, 64204, 64209, 64211, 64216, 64205, 64206, 64207, 64210, 64212, 64213, 64214, 64215

USN: 2052-1