SuSE 11.3 安全性更新:MozillaFirefox (SAT 修補程式編號 8879)

critical Nessus Plugin ID 72554

Synopsis

遠端 SuSE 11 主機缺少一個或多個安全性更新。

描述

這會將 Mozilla Firefox 瀏覽器更新至 24.3.0ESR 安全性版本。Mozilla NSS 程式庫現在為 3.15.4 版。

下列安全性問題已修正:

- 記憶體安全錯誤已在 Firefox ESR 24.3 和 Firefox 27.0 中修正 (CVE-2014-1477)(bnc#862345)。(MFSA 2014-01)

- 使用 XBL 範圍可能可以竊取 (複製) 原生匿名內容 (CVE-2014-1479)(bnc#862348)。(MFSA 2014-02)

- 下載「open file」對話方塊延遲太快,無法防止點擊劫持。(CVE-2014-1480)。(MFSA 2014-03)

- 影像解碼會導致 FireFox 因 Goo Create 而損毀 (CVE-2014-1482)(bnc#862356)。(MFSA 2014-04)

- caretPositionFromPoint 和 elementFromPoint 會透過計時資訊而洩漏有關 iframe 內容的資訊 (CVE-2014-1483)(bnc#862360)。(MFSA 2014-05)

- Fennec 會將設定檔路徑洩漏至 logcat。(CVE-2014-1484)。
(MFSA 2014-06)

- CSP 應該將 XSLT 當作指令碼來阻擋,而不是當作樣式。
(CVE-2014-1485)。(MFSA 2014-07)

- imgRequestProxy 釋放後使用遠端程式碼執行弱點。(CVE-2014-1486)。(MFSA 2014-08)

- 跨來源資訊洩漏並出現 Web 背景工作的錯誤訊息。(CVE-2014-1487)。(MFSA 2014-09)

- 設定與歷程記錄 ID 錯誤。(CVE-2014-1489)。(MFSA 2014-10)

- 在背景工作和可傳輸的物件中使用 asm.js 程式碼時,Firefox 會重複性損毀。(CVE-2014-1488)。(MFSA 2014-11)

- TOCTOU,在 libssl 的工作階段票證處理中可能有釋放後使用 (CVE-2014-1490)(bnc#862300) 不允許 p-1 作為公開 DH 值 (CVE-2014-1491)(bnc#862289)。(MFSA 2014-12)

- 在視窗上叫用 getter 時,這個值不一致 (CVE-2014-1481)(bnc#862309)。(MFSA 2014-13)

解決方案

套用 SAT 修補程式編號 8879。

另請參閱

http://www.mozilla.org/security/announce/2014/mfsa2014-01.html

http://www.mozilla.org/security/announce/2014/mfsa2014-02.html

http://www.mozilla.org/security/announce/2014/mfsa2014-03.html

http://www.mozilla.org/security/announce/2014/mfsa2014-04.html

http://www.mozilla.org/security/announce/2014/mfsa2014-05.html

http://www.mozilla.org/security/announce/2014/mfsa2014-06.html

http://www.mozilla.org/security/announce/2014/mfsa2014-07.html

http://www.mozilla.org/security/announce/2014/mfsa2014-08.html

http://www.mozilla.org/security/announce/2014/mfsa2014-09.html

http://www.mozilla.org/security/announce/2014/mfsa2014-10.html

http://www.mozilla.org/security/announce/2014/mfsa2014-11.html

http://www.mozilla.org/security/announce/2014/mfsa2014-12.html

http://www.mozilla.org/security/announce/2014/mfsa2014-13.html

https://bugzilla.novell.com/show_bug.cgi?id=859055

https://bugzilla.novell.com/show_bug.cgi?id=861847

http://support.novell.com/security/cve/CVE-2014-1477.html

http://support.novell.com/security/cve/CVE-2014-1479.html

http://support.novell.com/security/cve/CVE-2014-1480.html

http://support.novell.com/security/cve/CVE-2014-1481.html

http://support.novell.com/security/cve/CVE-2014-1482.html

http://support.novell.com/security/cve/CVE-2014-1483.html

http://support.novell.com/security/cve/CVE-2014-1484.html

http://support.novell.com/security/cve/CVE-2014-1485.html

http://support.novell.com/security/cve/CVE-2014-1486.html

http://support.novell.com/security/cve/CVE-2014-1487.html

http://support.novell.com/security/cve/CVE-2014-1488.html

http://support.novell.com/security/cve/CVE-2014-1489.html

http://support.novell.com/security/cve/CVE-2014-1490.html

http://support.novell.com/security/cve/CVE-2014-1491.html

Plugin 詳細資訊

嚴重性: Critical

ID: 72554

檔案名稱: suse_11_firefox-201402-140207.nasl

版本: 1.9

類型: local

代理程式: unix

已發布: 2014/2/18

已更新: 2021/1/19

支持的傳感器: Nessus Agent

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: Critical

基本分數: 10

媒介: AV:N/AC:L/Au:N/C:C/I:C/A:C

弱點資訊

CPE: p-cpe:/a:novell:suse_linux:11:MozillaFirefox, p-cpe:/a:novell:suse_linux:11:MozillaFirefox-branding-SLED, p-cpe:/a:novell:suse_linux:11:MozillaFirefox-translations, p-cpe:/a:novell:suse_linux:11:libfreebl3, p-cpe:/a:novell:suse_linux:11:libfreebl3-32bit, p-cpe:/a:novell:suse_linux:11:libsoftokn3, p-cpe:/a:novell:suse_linux:11:libsoftokn3-32bit, p-cpe:/a:novell:suse_linux:11:mozilla-nss, p-cpe:/a:novell:suse_linux:11:mozilla-nss-32bit, p-cpe:/a:novell:suse_linux:11:mozilla-nss-tools, cpe:/o:novell:suse_linux:11

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

修補程式發佈日期: 2014/2/7

參考資訊

CVE: CVE-2014-1477, CVE-2014-1479, CVE-2014-1480, CVE-2014-1481, CVE-2014-1482, CVE-2014-1483, CVE-2014-1484, CVE-2014-1485, CVE-2014-1486, CVE-2014-1487, CVE-2014-1488, CVE-2014-1489, CVE-2014-1490, CVE-2014-1491