Ubuntu 12.04 LTS / 12.10 / 13.04 / 13.10:firefox 弱點 (USN-2052-1)

critical Nessus Plugin ID 71374
新推出!Plugin 嚴重性目前使用 CVSS v3

計算 Plugin 嚴重性已更新為預設使用 CVSS v3 沒有 CVSS v3 評分的 Plugin 會回歸到以 CVSS v2 計算嚴重性。您可在設定下拉式選單中切換顯示嚴重性的喜好設定

Synopsis

遠端 Ubuntu 主機缺少安全性相關修補程式。

描述

Ben Turner、Bobby Holley、Jesse Ruderman、Christian Holler 和 Christoph Diehl 發現 Firefox 中有多個記憶體安全性問題。
如果使用者遭到誘騙而開啟特製網站,攻擊者可能加以惡意利用,透過損毀應用程式來引發拒絕服務,或以叫用 Firefox 的使用者權限執行任意程式碼。(CVE-2013-5609、CVE-2013-5610)

Myk Melez 發現,頁面導覽之間會持續出現 Web 應用程式安裝的門鉤通知。攻擊者可能惡意利用此瑕疵發動點擊劫持攻擊。
(CVE-2013-5611)

Masato Kinugawa 發現,缺少字元集編碼資訊的頁面可繼承來自其他網域的跨導覽字元編碼。攻擊者可能惡意利用此弱點來進行跨網站指令碼攻擊。(CVE-2013-5612)

Daniel Veditz 發現,沙箱化 iframe 可使用物件元素繞過本身的限制。(CVE-2013-5614)

Tyson Smith 和 Jesse Schwartzentruber 發現事件接聽程式中有釋放後使用錯誤。攻擊者可能加以惡意利用,藉由損毀應用程式引發拒絕服務,或以叫用 Firefox 的使用者權限執行任意程式碼。(CVE-2013-5616)

在表格編輯介面中發現釋放後使用錯誤。攻擊者可能加以惡意利用,藉由損毀應用程式引發拒絕服務,或以叫用 Firefox 的使用者權限執行任意程式碼。(CVE-2013-5618)

Dan Gohman 發現,Spidermonkey 的二進位搜尋演算法所用的算術有多處容易發生溢位問題。不過,一般認為這個問題不會遭到惡意利用。(CVE-2013-5619)

Tyson Smith 和 Jesse Schwartzentruber 發現,使用指令碼在文件中插入指定的清單時會當機。攻擊者可能利用此弱點,以叫用 Firefox 之使用者的權限執行任意程式碼。(CVE-2013-6671)

Vincent Lefevre 發現,Web 內容在某些情況下可存取剪貼簿的資料,其可導致資訊洩漏。
(CVE-2013-6672)

Sijie Xia 發現,內建 EV root 憑證的信任設定在特定情況下會遭到忽略,導致使用者無法手動不信任來自特定授權單位的憑證。(CVE-2013-6673)

Tyson Smith、Jesse Schwartzentruber 和 Atte Kettunen 發現,綜合滑鼠移動處理的函式中出現釋放後使用錯誤。攻擊者可能加以惡意利用,藉由損毀應用程式引發拒絕服務,或以叫用 Firefox 的使用者權限執行任意程式碼。(CVE-2013-5613)

Eric Faust 發現,GetElementIC 型別陣列虛設常式可在觀察到的排版之外產生。攻擊者便可能加以惡意利用,造成伴隨潛在安全性影響的未定義行為。(CVE-2013-5615)

Michal Zalewski 發現 JPEG 影像處理存在數個問題。攻擊者可能惡意利用這些問題以取得敏感資訊。(CVE-2013-6629、CVE-2013-6630)。

解決方案

更新受影響的 firefox 套件。

另請參閱

https://usn.ubuntu.com/2052-1/

Plugin 詳細資訊

嚴重性: Critical

ID: 71374

檔案名稱: ubuntu_USN-2052-1.nasl

版本: 1.11

類型: local

代理程式: unix

已發布: 2013/12/12

已更新: 2019/9/19

相依性: ssh_get_info.nasl

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: Critical

基本分數: 10

時間分數: 7.4

媒介: AV:N/AC:L/Au:N/C:C/I:C/A:C

時間媒介: E:U/RL:OF/RC:C

弱點資訊

CPE: p-cpe:/a:canonical:ubuntu_linux:firefox, cpe:/o:canonical:ubuntu_linux:12.04:-:lts, cpe:/o:canonical:ubuntu_linux:12.10, cpe:/o:canonical:ubuntu_linux:13.04, cpe:/o:canonical:ubuntu_linux:13.10

必要的 KB 項目: Host/cpu, Host/Ubuntu, Host/Ubuntu/release, Host/Debian/dpkg-l

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2013/12/11

弱點發布日期: 2013/11/18

參考資訊

CVE: CVE-2013-5609, CVE-2013-5610, CVE-2013-5611, CVE-2013-5612, CVE-2013-5613, CVE-2013-5614, CVE-2013-5615, CVE-2013-5616, CVE-2013-5618, CVE-2013-5619, CVE-2013-6629, CVE-2013-6630, CVE-2013-6671, CVE-2013-6672, CVE-2013-6673

BID: 63676, 63679, 64203, 64204, 64205, 64206, 64207, 64209, 64210, 64211, 64212, 64213, 64214, 64215, 64216

USN: 2052-1