openSUSE 安全性更新:firefox / seamonkey / thunderbird (openSUSE-SU-2013:0149-1)

critical Nessus Plugin ID 74918
新推出!Plugin 嚴重性目前使用 CVSS v3

計算 Plugin 嚴重性已更新為預設使用 CVSS v3 沒有 CVSS v3 評分的 Plugin 會回歸到以 CVSS v2 計算嚴重性。您可在設定下拉式選單中切換顯示嚴重性的喜好設定

Synopsis

遠端 openSUSE 主機缺少安全性更新。

描述

Mozilla 2013 年 1 月 8 日安全性版本包含更新:

Mozilla Firefox 已更新至 18.0 版。Mozilla SeaMonkey 已更新至 2.15 版。Mozilla Thunderbird 已更新至 17.0.2 版。Mozilla XULRunner 已更新至 17.0.2 版。

- MFSA 2013-01/CVE-2013-0749/CVE-2013-0769/CVE-2013-0770 其他記憶體安全危險

- MFSA 2013-02/CVE-2013-0760/CVE-2013-0762/CVE-2013-0766/CVE-20 13-0767 CVE-2013-0761/CVE-2013-0763/CVE-2013-0771/CVE-2012-5829 使用位址偵察工具時發現的釋放後使用和緩衝區溢位問題

- MFSA 2013-03/CVE-2013-0768 (bmo#815795) 畫布中的緩衝區溢位

- MFSA 2013-04/CVE-2012-0759 (bmo#802026) 頁面載入期間位址列中的 URL 偽造

- MFSA 2013-05/CVE-2013-0744 (bmo#814713) 顯示具有許多欄和欄群組的表格時發生的釋放後使用

- MFSA 2013-06/CVE-2013-0751 (bmo#790454) Touch 事件會跨 iframe 共用

- MFSA 2013-07/CVE-2013-0764 (bmo#804237) 因處理執行緒上的 SSL 而導致的損毀

- MFSA 2013-08/CVE-2013-0745 (bmo#794158) AutoWrapperChanger 無法讓物件在記憶體回收期間保持運作

- MFSA 2013-09/CVE-2013-0746 (bmo#816842) quickstubs 所傳回值的區間不相符

- MFSA 2013-10/CVE-2013-0747 (bmo#733305) 外掛程式處置程式中的事件操控,以繞過同源原則

- MFSA 2013-11/CVE-2013-0748 (bmo#806031) XBL 物件中洩漏的位址空間配置

- MFSA 2013-12/CVE-2013-0750 (bmo#805121) JavaScript 字串串連中的緩衝區溢位

- MFSA 2013-13/CVE-2013-0752 (bmo#805024) 具有包含 SVG 之 XML 繫結的 XBL 中的記憶體損毀

- MFSA 2013-14/CVE-2013-0757 (bmo#813901) 透過變更物件原型的 Chrome Object Wrapper (COW) 繞過

- MFSA 2013-15/CVE-2013-0758 (bmo#813906) 透過外掛程式物件的權限提升

- MFSA 2013-16/CVE-2013-0753 (bmo#814001) serializeToStream 中的釋放後使用

- MFSA 2013-17/CVE-2013-0754 (bmo#814026) ListenerManager 中的釋放後使用

- MFSA 2013-18/CVE-2013-0755 (bmo#814027) Vibrate 中的釋放後使用

- MFSA 2013-19/CVE-2013-0756 (bmo#814029) JavaScript Proxy 物件中的釋放後使用

Mozilla NSPR 已更新至 4.9.4 版,包含一些小錯誤修正和新功能。

Mozilla NSS 已更新至 3.14.1 版,包含多種新功能、安全性修正和錯誤修正:

- MFSA 2013-20/CVE-2013-0743 (bmo#825022、bnc#796628) 撤銷 TURKTRUST 的誤發中繼憑證

執行的密碼編譯變更:

- 對 TLS 1.1 (RFC 4346) 的支援

- 對 DTLS 1.0 (RFC 4347) 和 DTLS-SRTP (RFC 5764) 的實驗性支援

- 對 AES-CTR、AES-CTS 和 AES-GCM 的支援

- 對 Keying Material Exporters for TLS (RFC 5705) 的支援

- 對使用 MD5 雜湊演算法之憑證簽章的支援現在預設為停用

- NSS 授權已變更為 MPL 2.0。先前版本在 MPL 1.1/GPL 2.0/LGPL 2.1 tri-license 之下發佈。如需有關 MPL 2.0 的詳細資訊,請參閱 http://www.mozilla.org/MPL/2.0/FAQ.html。如需有關 GPL/LGPL 相容性的其他說明,請參閱原始程式碼中的 security/nss/COPYING。

- 匯出和 DES 加密套件預設為停用。
非 ECC AES 和三重 DES 加密套件預設為啟用

如需詳細資訊,請參閱下列網頁:http://www.mozilla.org/security/announce/。

解決方案

更新受影響的 firefox / seamonkey / thunderbird 套件。

另請參閱

https://www.mozilla.org/en-US/MPL/2.0/FAQ.html.

https://www.mozilla.org/en-US/security/advisories/

https://bugzilla.novell.com/show_bug.cgi?id=796628

https://lists.opensuse.org/opensuse-updates/2013-01/msg00040.html

Plugin 詳細資訊

嚴重性: Critical

ID: 74918

檔案名稱: openSUSE-2013-17.nasl

版本: 1.7

類型: local

代理程式: unix

已發布: 2014/6/13

已更新: 2021/1/19

相依性: ssh_get_info.nasl

風險資訊

VPR

風險因素: Critical

分數: 9.5

CVSS v2

風險因素: Critical

基本分數: 10

媒介: AV:N/AC:L/Au:N/C:C/I:C/A:C

弱點資訊

CPE: p-cpe:/a:novell:opensuse:MozillaFirefox, p-cpe:/a:novell:opensuse:MozillaFirefox-branding-upstream, p-cpe:/a:novell:opensuse:MozillaFirefox-buildsymbols, p-cpe:/a:novell:opensuse:MozillaFirefox-debuginfo, p-cpe:/a:novell:opensuse:MozillaFirefox-debugsource, p-cpe:/a:novell:opensuse:MozillaFirefox-devel, p-cpe:/a:novell:opensuse:MozillaFirefox-translations-common, p-cpe:/a:novell:opensuse:MozillaFirefox-translations-other, p-cpe:/a:novell:opensuse:MozillaThunderbird, p-cpe:/a:novell:opensuse:MozillaThunderbird-buildsymbols, p-cpe:/a:novell:opensuse:MozillaThunderbird-debuginfo, p-cpe:/a:novell:opensuse:MozillaThunderbird-debugsource, p-cpe:/a:novell:opensuse:MozillaThunderbird-devel, p-cpe:/a:novell:opensuse:MozillaThunderbird-devel-debuginfo, p-cpe:/a:novell:opensuse:MozillaThunderbird-translations-common, p-cpe:/a:novell:opensuse:MozillaThunderbird-translations-other, p-cpe:/a:novell:opensuse:enigmail, p-cpe:/a:novell:opensuse:enigmail-debuginfo, p-cpe:/a:novell:opensuse:libfreebl3, p-cpe:/a:novell:opensuse:libfreebl3-32bit, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo-32bit, p-cpe:/a:novell:opensuse:libsoftokn3, p-cpe:/a:novell:opensuse:libsoftokn3-32bit, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-js, p-cpe:/a:novell:opensuse:mozilla-js-32bit, p-cpe:/a:novell:opensuse:mozilla-js-debuginfo, p-cpe:/a:novell:opensuse:mozilla-js-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nspr, p-cpe:/a:novell:opensuse:mozilla-nspr-32bit, p-cpe:/a:novell:opensuse:mozilla-nspr-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nspr-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nspr-debugsource, p-cpe:/a:novell:opensuse:mozilla-nspr-devel, p-cpe:/a:novell:opensuse:mozilla-nss, p-cpe:/a:novell:opensuse:mozilla-nss-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs, p-cpe:/a:novell:opensuse:mozilla-nss-certs-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debugsource, p-cpe:/a:novell:opensuse:mozilla-nss-devel, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-tools, p-cpe:/a:novell:opensuse:mozilla-nss-tools-debuginfo, p-cpe:/a:novell:opensuse:seamonkey, p-cpe:/a:novell:opensuse:seamonkey-debuginfo, p-cpe:/a:novell:opensuse:seamonkey-debugsource, p-cpe:/a:novell:opensuse:seamonkey-dom-inspector, p-cpe:/a:novell:opensuse:seamonkey-irc, p-cpe:/a:novell:opensuse:seamonkey-translations-common, p-cpe:/a:novell:opensuse:seamonkey-translations-other, p-cpe:/a:novell:opensuse:seamonkey-venkman, p-cpe:/a:novell:opensuse:xulrunner, p-cpe:/a:novell:opensuse:xulrunner-32bit, p-cpe:/a:novell:opensuse:xulrunner-buildsymbols, p-cpe:/a:novell:opensuse:xulrunner-debuginfo, p-cpe:/a:novell:opensuse:xulrunner-debuginfo-32bit, p-cpe:/a:novell:opensuse:xulrunner-debugsource, p-cpe:/a:novell:opensuse:xulrunner-devel, p-cpe:/a:novell:opensuse:xulrunner-devel-debuginfo, cpe:/o:novell:opensuse:12.1, cpe:/o:novell:opensuse:12.2

必要的 KB 項目: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2013/1/9

惡意利用途徑

Core Impact

Metasploit (Firefox 17.0.1 Flash Privileged Code Injection)

參考資訊

CVE: CVE-2012-0759, CVE-2012-5829, CVE-2013-0744, CVE-2013-0745, CVE-2013-0746, CVE-2013-0747, CVE-2013-0748, CVE-2013-0749, CVE-2013-0750, CVE-2013-0751, CVE-2013-0752, CVE-2013-0753, CVE-2013-0754, CVE-2013-0755, CVE-2013-0756, CVE-2013-0757, CVE-2013-0758, CVE-2013-0759, CVE-2013-0760, CVE-2013-0761, CVE-2013-0762, CVE-2013-0763, CVE-2013-0764, CVE-2013-0766, CVE-2013-0767, CVE-2013-0768, CVE-2013-0769, CVE-2013-0770, CVE-2013-0771