openSUSE 安全性更新:MozillaFirefox (openSUSE-SU-2013:1142-1)
critical Nessus Plugin ID 75073
語系:
概要
遠端 openSUSE 主機缺少安全性更新。描述
MozillaFirefox 已更新至 Firefox 22.0 (bnc#825935)已修正以下安全性問題:
- MFSA 2013-49/CVE-2013-1682/CVE-2013-1683 其他記憶體安全危險
- MFSA 2013-50/CVE-2013-1684/CVE-2013-1685/CVE-2013-1686 使用位址偵察工具找到記憶體損毀
- MFSA 2013-51/CVE-2013-1687 (bmo#863933、bmo#866823) 透過 XBL 的權限內容存取和執行
- MFSA 2013-52/CVE-2013-1688 (bmo#873966) Profiler 中的任意程式碼執行
- MFSA 2013-53/CVE-2013-1690 (bmo#857883) 透過 onreadystatechange 事件的未對應記憶體執行
- MFSA 2013-54/CVE-2013-1692 (bmo#866915) XHR HEAD 要求內文中的資料導致 CSRF 攻擊
- MFSA 2013-55/CVE-2013-1693 (bmo#711043) SVG 篩選會導致資訊洩漏
- MFSA 2013-56/CVE-2013-1694 (bmo#848535) PreserveWrapper 的行為不一致
- MFSA 2013-57/CVE-2013-1695 (bmo#849791) 沙箱限制未套用至巢狀框架元素
- MFSA 2013-58/CVE-2013-1696 (bmo#761667) 使用具有多重回應的伺服器發送時,X-Frame-Options 遭到忽略
- MFSA 2013-59/CVE-2013-1697 (bmo#858101) XrayWrappers 會被繞過,以在有權限的內容中執行使用者定義的方法
- MFSA 2013-60/CVE-2013-1698 (bmo#876044) getUserMedia 權限對話的位置顯示錯誤
- MFSA 2013-61/CVE-2013-1699 (bmo#840882) .com、.net 和 .name 的偽裝網域偽造
解決方案
更新受影響的 MozillaFirefox 套件。另請參閱
https://bugzilla.novell.com/show_bug.cgi?id=825935
https://lists.opensuse.org/opensuse-updates/2013-07/msg00018.html
Plugin 詳細資訊
嚴重性: Critical
ID: 75073
檔案名稱: openSUSE-2013-556.nasl
版本: 1.5
類型: local
代理程式: unix
發布日期: 2014/6/13
更新日期: 2022/3/29
支援的感應器: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent
風險資訊
VPR
風險因素: Critical
分數: 9.6
CVSS v2
風險因素: Critical
基本分數: 10
媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
弱點資訊
CPE: p-cpe:/a:novell:opensuse:mozillafirefox, p-cpe:/a:novell:opensuse:mozillafirefox-branding-upstream, p-cpe:/a:novell:opensuse:mozillafirefox-buildsymbols, p-cpe:/a:novell:opensuse:mozillafirefox-debuginfo, p-cpe:/a:novell:opensuse:mozillafirefox-debugsource, p-cpe:/a:novell:opensuse:mozillafirefox-devel, p-cpe:/a:novell:opensuse:mozillafirefox-translations-common, p-cpe:/a:novell:opensuse:mozillafirefox-translations-other, p-cpe:/a:novell:opensuse:mozilla-nspr, p-cpe:/a:novell:opensuse:mozilla-nspr-32bit, p-cpe:/a:novell:opensuse:mozilla-nspr-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nspr-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nspr-debugsource, p-cpe:/a:novell:opensuse:mozilla-nspr-devel, cpe:/o:novell:opensuse:12.2, cpe:/o:novell:opensuse:12.3
必要的 KB 項目: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2013/6/27
CISA 已知利用日期: 2022/4/18
惡意利用途徑
Metasploit (Firefox onreadystatechange Event DocumentViewerImpl Use After Free)
參考資訊
CVE: CVE-2013-1682, CVE-2013-1683, CVE-2013-1684, CVE-2013-1685, CVE-2013-1686, CVE-2013-1687, CVE-2013-1688, CVE-2013-1690, CVE-2013-1692, CVE-2013-1693, CVE-2013-1694, CVE-2013-1695, CVE-2013-1696, CVE-2013-1697, CVE-2013-1698, CVE-2013-1699