openSUSE 安全性更新:MozillaFirefox (openSUSE-SU-2012:1345-1)

critical Nessus Plugin ID 74779

Synopsis

遠端 openSUSE 主機缺少安全性更新。

描述

Mozilla 套件收到下列安全性更新 (bnc#783533):

Mozilla Firefox 已更新至 16.0.1 版。Mozilla SeaMonkey 已更新至 2.13.1 版。Mozilla Thunderbird 已更新至 16.0.1 版。Mozilla XULRunner 已更新至 16.0.1 版。

- MFSA 2012-88/CVE-2012-4191 (bmo#798045) 其他記憶體安全危險

- MFSA 2012-89/CVE-2012-4192/CVE-2012-4193 (bmo#799952、bmo#720619) 未套用 defaultValue 安全性檢查

- MFSA 2012-74/CVE-2012-3982/CVE-2012-3983 其他記憶體安全危險

- MFSA 2012-75/CVE-2012-3984 (bmo#575294) 特定元素持續性允許攻擊

- MFSA 2012-76/CVE-2012-3985 (bmo#655649) 設定 document.domain 後持續存取初始來源

- MFSA 2012-77/CVE-2012-3986 (bmo#775868) 部分 DOMWindowUtils 方法繞過安全性檢查

- MFSA 2012-79/CVE-2012-3988 (bmo#725770) 全螢幕和歷程記錄巡覽時發生 DOS 和當機

- MFSA 2012-80/CVE-2012-3989 (bmo#783867) 使用 instanceof 運算子時發生無效轉換而當機

- MFSA 2012-81/CVE-2012-3991 (bmo#783260) GetProperty 函式可繞過安全性檢查

- MFSA 2012-82/CVE-2012-3994 (bmo#765527) 最上層物件和位置內容可由外掛程式存取

- MFSA 2012-83/CVE-2012-3993/CVE-2012-4184 (bmo#768101、bmo#780370) Chrome Object Wrapper (COW) 並未拒絕權限式函式或內容的存取

- MFSA 2012-84/CVE-2012-3992 (bmo#775009) 透過 location.hash 的偽造和指令碼插入

- MFSA 2012-85/CVE-2012-3995/CVE-2012-4179/CVE-2012-4180/ CVE-2012-4181/CVE-2012-4182/CVE-2012-4183 使用位址偵察工具時發現的釋放後使用、緩衝區溢位和超出邊界讀取問題

- MFSA 2012-86/CVE-2012-4185/CVE-2012-4186/CVE-2012-4187/ CVE-2012-4188 使用位址偵察工具時發現的堆積記憶體損毀問題

- MFSA 2012-87/CVE-2012-3990 (bmo#787704)

解決方案

更新受影響的 MozillaFirefox 套件。

另請參閱

https://bugzilla.novell.com/show_bug.cgi?id=783533

https://lists.opensuse.org/opensuse-updates/2012-10/msg00054.html

Plugin 詳細資訊

嚴重性: Critical

ID: 74779

檔案名稱: openSUSE-2012-709.nasl

版本: 1.10

類型: local

代理程式: unix

已發布: 2014/6/13

已更新: 2021/1/19

支持的傳感器: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent

風險資訊

VPR

風險因素: High

分數: 8.9

CVSS v2

風險因素: Critical

基本分數: 10

時間分數: 8.7

媒介: AV:N/AC:L/Au:N/C:C/I:C/A:C

時間媒介: E:H/RL:OF/RC:C

弱點資訊

CPE: p-cpe:/a:novell:opensuse:MozillaFirefox, p-cpe:/a:novell:opensuse:MozillaFirefox-branding-upstream, p-cpe:/a:novell:opensuse:MozillaFirefox-buildsymbols, p-cpe:/a:novell:opensuse:MozillaFirefox-debuginfo, p-cpe:/a:novell:opensuse:MozillaFirefox-debugsource, p-cpe:/a:novell:opensuse:MozillaFirefox-devel, p-cpe:/a:novell:opensuse:MozillaFirefox-translations-common, p-cpe:/a:novell:opensuse:MozillaFirefox-translations-other, p-cpe:/a:novell:opensuse:MozillaThunderbird, p-cpe:/a:novell:opensuse:MozillaThunderbird-buildsymbols, p-cpe:/a:novell:opensuse:MozillaThunderbird-debuginfo, p-cpe:/a:novell:opensuse:MozillaThunderbird-debugsource, p-cpe:/a:novell:opensuse:MozillaThunderbird-devel, p-cpe:/a:novell:opensuse:MozillaThunderbird-devel-debuginfo, p-cpe:/a:novell:opensuse:MozillaThunderbird-translations-common, p-cpe:/a:novell:opensuse:MozillaThunderbird-translations-other, p-cpe:/a:novell:opensuse:enigmail, p-cpe:/a:novell:opensuse:enigmail-debuginfo, p-cpe:/a:novell:opensuse:mozilla-js, p-cpe:/a:novell:opensuse:mozilla-js-32bit, p-cpe:/a:novell:opensuse:mozilla-js-debuginfo, p-cpe:/a:novell:opensuse:mozilla-js-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-kde4-integration, p-cpe:/a:novell:opensuse:mozilla-kde4-integration-debuginfo, p-cpe:/a:novell:opensuse:mozilla-kde4-integration-debugsource, p-cpe:/a:novell:opensuse:seamonkey, p-cpe:/a:novell:opensuse:seamonkey-debuginfo, p-cpe:/a:novell:opensuse:seamonkey-debugsource, p-cpe:/a:novell:opensuse:seamonkey-dom-inspector, p-cpe:/a:novell:opensuse:seamonkey-irc, p-cpe:/a:novell:opensuse:seamonkey-translations-common, p-cpe:/a:novell:opensuse:seamonkey-translations-other, p-cpe:/a:novell:opensuse:seamonkey-venkman, p-cpe:/a:novell:opensuse:xulrunner, p-cpe:/a:novell:opensuse:xulrunner-32bit, p-cpe:/a:novell:opensuse:xulrunner-buildsymbols, p-cpe:/a:novell:opensuse:xulrunner-debuginfo, p-cpe:/a:novell:opensuse:xulrunner-debuginfo-32bit, p-cpe:/a:novell:opensuse:xulrunner-debugsource, p-cpe:/a:novell:opensuse:xulrunner-devel, p-cpe:/a:novell:opensuse:xulrunner-devel-debuginfo, cpe:/o:novell:opensuse:12.1, cpe:/o:novell:opensuse:12.2

必要的 KB 項目: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2012/10/13

弱點發布日期: 2012/10/10

惡意利用途徑

Metasploit (Firefox 5.0 - 15.0.1 __exposedProps__ XCS Code Execution)

參考資訊

CVE: CVE-2012-3982, CVE-2012-3983, CVE-2012-3984, CVE-2012-3985, CVE-2012-3986, CVE-2012-3988, CVE-2012-3989, CVE-2012-3990, CVE-2012-3991, CVE-2012-3992, CVE-2012-3993, CVE-2012-3994, CVE-2012-3995, CVE-2012-4179, CVE-2012-4180, CVE-2012-4181, CVE-2012-4182, CVE-2012-4183, CVE-2012-4184, CVE-2012-4185, CVE-2012-4186, CVE-2012-4187, CVE-2012-4188, CVE-2012-4191, CVE-2012-4192, CVE-2012-4193