openSUSE 安全性更新:seamonkey (openSUSE-SU-2013:1180-1)

critical Nessus Plugin ID 75081

Synopsis

遠端 openSUSE 主機缺少安全性更新。

描述

seamonkey 已更新至 2.19 (bnc#825935),修正了多個錯誤和安全性問題。

修正的安全性問題:

- MFSA 2013-49/CVE-2013-1682/CVE-2013-1683 其他記憶體安全危險

- MFSA 2013-50/CVE-2013-1684/CVE-2013-1685/CVE-2013-1686 使用位址偵察工具找到記憶體損毀

- MFSA 2013-51/CVE-2013-1687 (bmo#863933、bmo#866823) 透過 XBL 的權限內容存取和執行

- MFSA 2013-52/CVE-2013-1688 (bmo#873966) Profiler 中的任意程式碼執行

- MFSA 2013-53/CVE-2013-1690 (bmo#857883) 透過 onreadystatechange 事件的未對應記憶體執行

- MFSA 2013-54/CVE-2013-1692 (bmo#866915) XHR HEAD 要求內文中的資料導致 CSRF 攻擊

- MFSA 2013-55/CVE-2013-1693 (bmo#711043) SVG 篩選會導致資訊洩漏

- MFSA 2013-56/CVE-2013-1694 (bmo#848535) PreserveWrapper 的行為不一致

- MFSA 2013-57/CVE-2013-1695 (bmo#849791) 沙箱限制未套用至巢狀框架元素

- MFSA 2013-58/CVE-2013-1696 (bmo#761667) 使用具有多重回應的伺服器發送時,X-Frame-Options 遭到忽略

- MFSA 2013-59/CVE-2013-1697 (bmo#858101) XrayWrappers 會被繞過,以在有權限的內容中執行使用者定義的方法

- MFSA 2013-60/CVE-2013-1698 (bmo#876044) getUserMedia 權限對話的位置顯示錯誤

- MFSA 2013-61/CVE-2013-1699 (bmo#840882) .com、.net 和 .name 的偽裝網域偽造

解決方案

更新受影響的 seamonkey 套件。

另請參閱

https://bugzilla.novell.com/show_bug.cgi?id=813026

https://bugzilla.novell.com/show_bug.cgi?id=814101

https://bugzilla.novell.com/show_bug.cgi?id=825935

https://lists.opensuse.org/opensuse-updates/2013-07/msg00041.html

Plugin 詳細資訊

嚴重性: Critical

ID: 75081

檔案名稱: openSUSE-2013-574.nasl

版本: 1.7

類型: local

代理程式: unix

已發布: 2014/6/13

已更新: 2022/3/29

支持的傳感器: Nessus Agent

風險資訊

VPR

風險因素: Critical

分數: 9.6

CVSS v2

風險因素: Critical

基本分數: 10

時間分數: 8.7

媒介: AV:N/AC:L/Au:N/C:C/I:C/A:C

時間媒介: E:H/RL:OF/RC:C

弱點資訊

CPE: p-cpe:/a:novell:opensuse:seamonkey, p-cpe:/a:novell:opensuse:seamonkey-debuginfo, p-cpe:/a:novell:opensuse:seamonkey-debugsource, p-cpe:/a:novell:opensuse:seamonkey-dom-inspector, p-cpe:/a:novell:opensuse:seamonkey-irc, p-cpe:/a:novell:opensuse:seamonkey-translations-common, p-cpe:/a:novell:opensuse:seamonkey-translations-other, p-cpe:/a:novell:opensuse:seamonkey-venkman, cpe:/o:novell:opensuse:12.2, cpe:/o:novell:opensuse:12.3

必要的 KB 項目: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2013/7/4

CISA 已知利用日期: 2022/4/18

惡意利用途徑

Metasploit (Firefox onreadystatechange Event DocumentViewerImpl Use After Free)

參考資訊

CVE: CVE-2013-0788, CVE-2013-0789, CVE-2013-0792, CVE-2013-0793, CVE-2013-0794, CVE-2013-0795, CVE-2013-0796, CVE-2013-0800, CVE-2013-1682, CVE-2013-1683, CVE-2013-1684, CVE-2013-1685, CVE-2013-1686, CVE-2013-1687, CVE-2013-1688, CVE-2013-1690, CVE-2013-1692, CVE-2013-1693, CVE-2013-1694, CVE-2013-1695, CVE-2013-1696, CVE-2013-1697, CVE-2013-1698, CVE-2013-1699