openSUSE 安全性更新:MozillaFirefox / MozillaThunderbird / mozilla-nspr / 等 (openSUSE-SU-2013:1348-1)

critical Nessus Plugin ID 75122

Synopsis

遠端 openSUSE 主機缺少安全性更新。

描述

seamonkey 中的變更:

- SeaMonkey 2.20 的更新 (bnc#833389)

- MFSA 2013-63/CVE-2013-1701/CVE-2013-1702 其他記憶體安全危險

- MFSA 2013-64/CVE-2013-1704 (bmo#883313) 在 SetBody 執行期間變動 DOM 時發生釋放後使用

- MFSA 2013-65/CVE-2013-1705 (bmo#882865) 當產生 CRMF 要求時緩衝區反向溢位

- MFSA 2013-67/CVE-2013-1708 (bmo#879924) WAV 音訊檔案解碼期間發生損毀

- MFSA 2013-68/CVE-2013-1709 (bmo#838253) 文件 URI 錯誤呈現和偽裝

- MFSA 2013-69/CVE-2013-1710 (bmo#871368) CRMF 要求可能允許程式碼執行和 XSS 攻擊。

- MFSA 2013-70/CVE-2013-1711 (bmo#843829) 使用 XBL 範圍時繞過 XrayWrapper

- MFSA 2013-72/CVE-2013-1713 (bmo#887098) 對某些 JavaScript 元件使用了錯誤的 URI 驗證主體。

- MFSA 2013-73/CVE-2013-1714 (bmo#879787) web worker 和 XMLHttpRequest 有相同來源繞過問題。

- MFSA 2013-75/CVE-2013-1717 (bmo#406541、bmo#738397) 本機 Local Java applet 可讀取本機檔案系統的內容

- 需要 NSPR 4.10 和 NSS 3.15

- 移除過時的 seamonkey-shared-nss-db.patch

seamonkey 中的變更:

- SeaMonkey 2.20 的更新 (bnc#833389)

- MFSA 2013-63/CVE-2013-1701/CVE-2013-1702 其他記憶體安全危險

- MFSA 2013-64/CVE-2013-1704 (bmo#883313) 在 SetBody 執行期間變動 DOM 時發生釋放後使用

- MFSA 2013-65/CVE-2013-1705 (bmo#882865) 當產生 CRMF 要求時緩衝區反向溢位

- MFSA 2013-67/CVE-2013-1708 (bmo#879924) WAV 音訊檔案解碼期間發生損毀

- MFSA 2013-68/CVE-2013-1709 (bmo#838253) 文件 URI 錯誤呈現和偽裝

- MFSA 2013-69/CVE-2013-1710 (bmo#871368) CRMF 要求可能允許程式碼執行和 XSS 攻擊。

- MFSA 2013-70/CVE-2013-1711 (bmo#843829) 使用 XBL 範圍時繞過 XrayWrapper

- MFSA 2013-72/CVE-2013-1713 (bmo#887098) 對某些 JavaScript 元件使用了錯誤的 URI 驗證主體。

- MFSA 2013-73/CVE-2013-1714 (bmo#879787) web worker 和 XMLHttpRequest 有相同來源繞過問題。

- MFSA 2013-75/CVE-2013-1717 (bmo#406541、bmo#738397) 本機 Local Java applet 可讀取本機檔案系統的內容

- 需要 NSPR 4.10 和 NSS 3.15

- 移除過時的 seamonkey-shared-nss-db.patch

xulrunner 中的變更:

- 17.0.8esr 的更新 (bnc#833389)

- MFSA 2013-63/CVE-2013-1701 其他記憶體安全危險

- MFSA 2013-68/CVE-2013-1709 (bmo#838253) 文件 URI 錯誤呈現和偽裝

- MFSA 2013-69/CVE-2013-1710 (bmo#871368) CRMF 要求可能允許程式碼執行和 XSS 攻擊。

- MFSA 2013-72/CVE-2013-1713 (bmo#887098) 對某些 JavaScript 元件使用了錯誤的 URI 驗證主體。

- MFSA 2013-73/CVE-2013-1714 (bmo#879787) web worker 和 XMLHttpRequest 有相同來源繞過問題。

- MFSA 2013-75/CVE-2013-1717 (bmo#406541、bmo#738397) 本機 Local Java applet 可讀取本機檔案系統的內容

xulrunner 中的變更:

- 17.0.8esr 的更新 (bnc#833389)

- MFSA 2013-63/CVE-2013-1701 其他記憶體安全危險

- MFSA 2013-68/CVE-2013-1709 (bmo#838253) 文件 URI 錯誤呈現和偽裝

- MFSA 2013-69/CVE-2013-1710 (bmo#871368) CRMF 要求可能允許程式碼執行和 XSS 攻擊。

- MFSA 2013-72/CVE-2013-1713 (bmo#887098) 對某些 JavaScript 元件使用了錯誤的 URI 驗證主體。

- MFSA 2013-73/CVE-2013-1714 (bmo#879787) web worker 和 XMLHttpRequest 有相同來源繞過問題。

- MFSA 2013-75/CVE-2013-1717 (bmo#406541、bmo#738397) 本機 Local Java applet 可讀取本機檔案系統的內容

MozillaThunderbird 中的變更:

- Thunderbird 17.0.8 的更新 (bnc#833389)

- MFSA 2013-63/CVE-2013-1701 其他記憶體安全危險

- MFSA 2013-68/CVE-2013-1709 (bmo#838253) 文件 URI 錯誤呈現和偽裝

- MFSA 2013-69/CVE-2013-1710 (bmo#871368) CRMF 要求可能允許程式碼執行和 XSS 攻擊。

- MFSA 2013-72/CVE-2013-1713 (bmo#887098) 對某些 JavaScript 元件使用了錯誤的 URI 驗證主體。

- MFSA 2013-73/CVE-2013-1714 (bmo#879787) web worker 和 XMLHttpRequest 有相同來源繞過問題。

- MFSA 2013-75/CVE-2013-1717 (bmo#406541、bmo#738397) 本機 Local Java applet 可讀取本機檔案系統的內容

- 將 Enigmail 更新至 1.5.2

- 錯誤修正版本

MozillaThunderbird 中的變更:

- Thunderbird 17.0.8 的更新 (bnc#833389)

- MFSA 2013-63/CVE-2013-1701 其他記憶體安全危險

- MFSA 2013-68/CVE-2013-1709 (bmo#838253) 文件 URI 錯誤呈現和偽裝

- MFSA 2013-69/CVE-2013-1710 (bmo#871368) CRMF 要求可能允許程式碼執行和 XSS 攻擊。

- MFSA 2013-72/CVE-2013-1713 (bmo#887098) 對某些 JavaScript 元件使用了錯誤的 URI 驗證主體。

- MFSA 2013-73/CVE-2013-1714 (bmo#879787) web worker 和 XMLHttpRequest 有相同來源繞過問題。

- MFSA 2013-75/CVE-2013-1717 (bmo#406541、bmo#738397) 本機 Local Java applet 可讀取本機檔案系統的內容

- 將 Enigmail 更新至 1.5.2

- 錯誤修正版本

mozilla-nss 中的變更:

- 修正 32 位元需求,此需求實際上不含 ()

- 3.15.1 的更新

- 支援 TLS 1.2 (RFC 5246)。支援 HMAC-SHA256 加密套件 (RFC 5246 和 RFC 5289),允許在沒有 MD5 和 SHA-1 的情況下使用 TLS。請注意下列限制:TLS 1.2 用戶端驗證簽章所用的 hash 函式必須是 TLS 1.2 PRF 的 hash 函式,該函式一律為 NSS 3.15.1 中的 SHA-256。尚不支援 AES GCM 加密套件。

- 一些錯誤修正和改善

- 需要 libnssckbi,而不是 mozilla-nss-certs,因此,p11-kit 會與後者相衝突 (fate#314991)

- 3.15 的更新

- 封裝

+ 已移除過時的修補程式

- nss-disable-expired-testcerts.patch

- bug-834091.patch

- 新功能

+ 同時新增用戶端和伺服器通訊端的 OCSP 裝訂 (RFC 6066,憑證狀態要求) 支援。TLS 用戶端應用程式可透過 SSL_OptionSetDefault(SSL_ENABLE_OCSP_STAPLING, PR_TRUE) 呼叫加以啟用;

+ 新增函式 SECITEM_ReallocItemV2。可取代函式 SECITEM_ReallocItem (現已宣告過時)。

+ 透過 PK11_Encrypt 和 PK11_Decrypt 支援單一作業 (例如非多重) 對稱金鑰加密和解密。

+ certutil 已更新,支援建立名稱限制延伸模組。

- ssl.h SSL_PeerStapledOCSPResponse 中的新函式 - 與跟 status_request 延伸模組進行交涉的 TLS 用戶端通訊端一同使用時,會傳回伺服器的分類 OCSP 回應。SSL_SetStapledOCSPResponses - 用戶端傳送 status_request 延伸模組時,為要傳回的 TLS 伺服器通訊端設定分類的 OCSP 回應。
在 ocsp.h CERT_PostOCSPRequest 中 - 主要用於測試,允許原始 OCSP 要求/回應的傳送和接收。在 secpkcs7.h SEC_PKCS7VerifyDetachedSignatureAtTime 中 - 在特定時間 (而非現在) 驗證 PKCS#7 簽章。在 xconst.h CERT_EncodeNameConstraintsExtension 中 - 比對 CERT_DecodeNameConstraintsExtension 的函式,已在 NSS 3.10 中新增。在 secitem.h SECITEM_AllocArray SECITEM_DupArray SECITEM_FreeArray SECITEM_ZfreeArray 中 - 處理 SECItemArrays SECITEM_ReallocItemV2 的配置和取消配置之公用程式函式 - 取代現在已過時的 SECITEM_ReallocItem。
SECITEM_ReallocItemV2 更符合呼叫者預期,在於它在配置上更新 item->len。如需 SECITEM_ReallocItem 相關問題的更多詳情,請參閱 pk11pub.h PK11_Decrypt 中的錯誤 298649 和 298938 - 以單一 PKCS#11 作業執行解密 (例如非多重)。對 AES-GCM 而言,這是必要的。PK11_Encrypt - 以單一 PKCS#11 作業執行加密 (例如非多重)。對 AES-GCM 而言,這是必要的。

- secitem.h SECItemArray 中的新類型 - 代表 SECItems 的 variable-length 陣列。

- ssl.h SSL_ENABLE_OCSP_STAPLING 中的新巨集 - 設定為 PR_TRUE 時,與 SSL_OptionSet 一同使用,即可設定 TLS 用戶端通訊端,並要求 certificate_status 延伸模組 (例如:OCSP 裝訂)

- 值得注意的變更

+ SECITEM_ReallocItem 現已淘汰。請考慮在所有未來的程式碼中使用 SECITEM_ReallocItemV2。

+ 已經更新 nssckbi 模組中的 root CA 憑證之清單。

+ 為將 TLS 伺服器所分類的憑證狀態回應新增至 OCSP 快取,已經更新 SSL_AuthCertificate 的預設實作。

- 多個錯誤修正

- 新增來源 URL,請參閱 https://en.opensuse.org/SourceUrls

mozilla-nss 中的變更:

- 修正 32 位元需求,此需求實際上不含 ()

- 3.15.1 的更新

- 支援 TLS 1.2 (RFC 5246)。支援 HMAC-SHA256 加密套件 (RFC 5246 和 RFC 5289),允許在沒有 MD5 和 SHA-1 的情況下使用 TLS。請注意下列限制:TLS 1.2 用戶端驗證簽章所用的 hash 函式必須是 TLS 1.2 PRF 的 hash 函式,該函式一律為 NSS 3.15.1 中的 SHA-256。尚不支援 AES GCM 加密套件。

- 一些錯誤修正和改善

- 需要 libnssckbi,而不是 mozilla-nss-certs,因此,p11-kit 會與後者相衝突 (fate#314991)

- 3.15 的更新

- 封裝

+ 已移除過時的修補程式

- nss-disable-expired-testcerts.patch

- bug-834091.patch

- 新功能

+ 同時新增用戶端和伺服器通訊端的 OCSP 裝訂 (RFC 6066,憑證狀態要求) 支援。TLS 用戶端應用程式可透過 SSL_OptionSetDefault(SSL_ENABLE_OCSP_STAPLING, PR_TRUE) 呼叫加以啟用;

+ 新增函式 SECITEM_ReallocItemV2。可取代函式 SECITEM_ReallocItem (現已宣告過時)。

+ 透過 PK11_Encrypt 和 PK11_Decrypt 支援單一作業 (例如非多重) 對稱金鑰加密和解密。

+ certutil 已更新,支援建立名稱限制延伸模組。

- ssl.h SSL_PeerStapledOCSPResponse 中的新函式 - 與跟 status_request 延伸模組進行交涉的 TLS 用戶端通訊端一同使用時,會傳回伺服器的分類 OCSP 回應。SSL_SetStapledOCSPResponses - 用戶端傳送 status_request 延伸模組時,為要傳回的 TLS 伺服器通訊端設定分類的 OCSP 回應。
在 ocsp.h CERT_PostOCSPRequest 中 - 主要用於測試,允許原始 OCSP 要求/回應的傳送和接收。在 secpkcs7.h SEC_PKCS7VerifyDetachedSignatureAtTime 中 - 在特定時間 (而非現在) 驗證 PKCS#7 簽章。在 xconst.h CERT_EncodeNameConstraintsExtension 中 - 比對 CERT_DecodeNameConstraintsExtension 的函式,已在 NSS 3.10 中新增。在 secitem.h SECITEM_AllocArray SECITEM_DupArray SECITEM_FreeArray SECITEM_ZfreeArray 中 - 處理 SECItemArrays SECITEM_ReallocItemV2 的配置和取消配置之公用程式函式 - 取代現在已過時的 SECITEM_ReallocItem。
SECITEM_ReallocItemV2 更符合呼叫者預期,在於它在配置上更新 item->len。如需 SECITEM_ReallocItem 相關問題的更多詳情,請參閱 pk11pub.h PK11_Decrypt 中的錯誤 298649 和 298938 - 以單一 PKCS#11 作業執行解密 (例如非多重)。對 AES-GCM 而言,這是必要的。PK11_Encrypt - 以單一 PKCS#11 作業執行加密 (例如非多重)。對 AES-GCM 而言,這是必要的。

- secitem.h SECItemArray 中的新類型 - 代表 SECItems 的 variable-length 陣列。

- ssl.h SSL_ENABLE_OCSP_STAPLING 中的新巨集 - 設定為 PR_TRUE 時,與 SSL_OptionSet 一同使用,即可設定 TLS 用戶端通訊端,並要求 certificate_status 延伸模組 (例如:OCSP 裝訂)

- 值得注意的變更

+ SECITEM_ReallocItem 現已淘汰。請考慮在所有未來的程式碼中使用 SECITEM_ReallocItemV2。

+ 已經更新 nssckbi 模組中的 root CA 憑證之清單。

+ 為將 TLS 伺服器所分類的憑證狀態回應新增至 OCSP 快取,已經更新 SSL_AuthCertificate 的預設實作。

- 多個錯誤修正

- 新增來源 URL,請參閱 https://en.opensuse.org/SourceUrls

mozilla-nspr 中的變更:

- 4.10 版的更新

- bmo#844513:將 AddressSanitizer (ASan) 記憶體檢查註釋新增至 PLArena。

- bmo#849089:簡易變更,以使 NSPR 的 configure.in 與 autoconf 目前版本一同使用。

- bmo#856196:修正 NSPR 4.10 中的編譯器警告和清理程式碼。

- bmo#859066:修正 nsprpub/pr/src/misc/prnetdb.c 中的警告。

- bmo#859830:ANDROID_VERSION 改由 android/api-level.h 取代。

- bmo#861434:相對於主處理程序,優先對 PR_SetThreadPriority() 進行變更,以取代使用 Linux 上的絕對值。

- bmo#871064L:_PR_InitThreads() 不應呼叫 PR_SetThreadPriority。

mozilla-nspr 中的變更:

- 4.10 版的更新

- bmo#844513:將 AddressSanitizer (ASan) 記憶體檢查註釋新增至 PLArena。

- bmo#849089:簡易變更,以使 NSPR 的 configure.in 與 autoconf 目前版本一同使用。

- bmo#856196:修正 NSPR 4.10 中的編譯器警告和清理程式碼。

- bmo#859066:修正 nsprpub/pr/src/misc/prnetdb.c 中的警告。

- bmo#859830:ANDROID_VERSION 改由 android/api-level.h 取代。

- bmo#861434:相對於主處理程序,優先對 PR_SetThreadPriority() 進行變更,以取代使用 Linux 上的絕對值。

- bmo#871064L:_PR_InitThreads() 不應呼叫 PR_SetThreadPriority。

MozillaFirefox 中的變更:

- Firefox 23.0 的更新 (bnc#833389)

- MFSA 2013-63/CVE-2013-1701/CVE-2013-1702 其他記憶體安全危險

- MFSA 2013-64/CVE-2013-1704 (bmo#883313) 在 SetBody 執行期間變動 DOM 時發生釋放後使用

- MFSA 2013-65/CVE-2013-1705 (bmo#882865) 當產生 CRMF 要求時緩衝區反向溢位

- MFSA 2013-67/CVE-2013-1708 (bmo#879924) WAV 音訊檔案解碼期間發生損毀

- MFSA 2013-68/CVE-2013-1709 (bmo#838253) 文件 URI 錯誤呈現和偽裝

- MFSA 2013-69/CVE-2013-1710 (bmo#871368) CRMF 要求可能允許程式碼執行和 XSS 攻擊。

- MFSA 2013-70/CVE-2013-1711 (bmo#843829) 使用 XBL 範圍時繞過 XrayWrapper

- MFSA 2013-72/CVE-2013-1713 (bmo#887098) 對某些 JavaScript 元件使用了錯誤的 URI 驗證主體。

- MFSA 2013-73/CVE-2013-1714 (bmo#879787) web worker 和 XMLHttpRequest 有相同來源繞過問題。

- MFSA 2013-75/CVE-2013-1717 (bmo#406541、bmo#738397) 本機 Local Java applet 可讀取本機檔案系統的內容

- 需要 NSPR 4.10 和 NSS 3.15

- 修正 ARM 上的版本 (/-g/ matches /-grecord-switches/)

MozillaFirefox 中的變更:

- Firefox 23.0 的更新 (bnc#833389)

- MFSA 2013-63/CVE-2013-1701/CVE-2013-1702 其他記憶體安全危險

- MFSA 2013-64/CVE-2013-1704 (bmo#883313) 在 SetBody 執行期間變動 DOM 時發生釋放後使用

- MFSA 2013-65/CVE-2013-1705 (bmo#882865) 當產生 CRMF 要求時緩衝區反向溢位

- MFSA 2013-67/CVE-2013-1708 (bmo#879924) WAV 音訊檔案解碼期間發生損毀

- MFSA 2013-68/CVE-2013-1709 (bmo#838253) 文件 URI 錯誤呈現和偽裝

- MFSA 2013-69/CVE-2013-1710 (bmo#871368) CRMF 要求可能允許程式碼執行和 XSS 攻擊。

- MFSA 2013-70/CVE-2013-1711 (bmo#843829) 使用 XBL 範圍時繞過 XrayWrapper

- MFSA 2013-72/CVE-2013-1713 (bmo#887098) 對某些 JavaScript 元件使用了錯誤的 URI 驗證主體。

- MFSA 2013-73/CVE-2013-1714 (bmo#879787) web worker 和 XMLHttpRequest 有相同來源繞過問題。

- MFSA 2013-75/CVE-2013-1717 (bmo#406541、bmo#738397) 本機 Local Java applet 可讀取本機檔案系統的內容

- 需要 NSPR 4.10 和 NSS 3.15

- 修正 ARM 上的版本 (/-g/ matches /-grecord-switches/)

解決方案

更新受影響的 MozillaFirefox / MozillaThunderbird / mozilla-nspr / 等套件。

另請參閱

https://bugzilla.novell.com/show_bug.cgi?id=833389

https://en.opensuse.org/SourceUrls

https://lists.opensuse.org/opensuse-updates/2013-08/msg00036.html

Plugin 詳細資訊

嚴重性: Critical

ID: 75122

檔案名稱: openSUSE-2013-652.nasl

版本: 1.6

類型: local

代理程式: unix

已發布: 2014/6/13

已更新: 2021/1/19

支持的傳感器: Nessus Agent

風險資訊

VPR

風險因素: Critical

分數: 9

CVSS v2

風險因素: Critical

基本分數: 10

媒介: AV:N/AC:L/Au:N/C:C/I:C/A:C

弱點資訊

CPE: p-cpe:/a:novell:opensuse:MozillaFirefox, p-cpe:/a:novell:opensuse:MozillaFirefox-branding-upstream, p-cpe:/a:novell:opensuse:MozillaFirefox-buildsymbols, p-cpe:/a:novell:opensuse:MozillaFirefox-debuginfo, p-cpe:/a:novell:opensuse:MozillaFirefox-debugsource, p-cpe:/a:novell:opensuse:MozillaFirefox-devel, p-cpe:/a:novell:opensuse:MozillaFirefox-translations-common, p-cpe:/a:novell:opensuse:MozillaFirefox-translations-other, p-cpe:/a:novell:opensuse:MozillaThunderbird, p-cpe:/a:novell:opensuse:MozillaThunderbird-buildsymbols, p-cpe:/a:novell:opensuse:MozillaThunderbird-debuginfo, p-cpe:/a:novell:opensuse:MozillaThunderbird-debugsource, p-cpe:/a:novell:opensuse:MozillaThunderbird-devel, p-cpe:/a:novell:opensuse:MozillaThunderbird-devel-debuginfo, p-cpe:/a:novell:opensuse:MozillaThunderbird-translations-common, p-cpe:/a:novell:opensuse:MozillaThunderbird-translations-other, p-cpe:/a:novell:opensuse:enigmail, p-cpe:/a:novell:opensuse:enigmail-debuginfo, p-cpe:/a:novell:opensuse:libfreebl3, p-cpe:/a:novell:opensuse:libfreebl3-32bit, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo-32bit, p-cpe:/a:novell:opensuse:libsoftokn3, p-cpe:/a:novell:opensuse:libsoftokn3-32bit, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-js, p-cpe:/a:novell:opensuse:mozilla-js-32bit, p-cpe:/a:novell:opensuse:mozilla-js-debuginfo, p-cpe:/a:novell:opensuse:mozilla-js-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nspr, p-cpe:/a:novell:opensuse:mozilla-nspr-32bit, p-cpe:/a:novell:opensuse:mozilla-nspr-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nspr-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nspr-debugsource, p-cpe:/a:novell:opensuse:mozilla-nspr-devel, p-cpe:/a:novell:opensuse:mozilla-nss, p-cpe:/a:novell:opensuse:mozilla-nss-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs, p-cpe:/a:novell:opensuse:mozilla-nss-certs-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debugsource, p-cpe:/a:novell:opensuse:mozilla-nss-devel, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-tools, p-cpe:/a:novell:opensuse:mozilla-nss-tools-debuginfo, p-cpe:/a:novell:opensuse:seamonkey, p-cpe:/a:novell:opensuse:seamonkey-debuginfo, p-cpe:/a:novell:opensuse:seamonkey-debugsource, p-cpe:/a:novell:opensuse:seamonkey-dom-inspector, p-cpe:/a:novell:opensuse:seamonkey-irc, p-cpe:/a:novell:opensuse:seamonkey-translations-common, p-cpe:/a:novell:opensuse:seamonkey-translations-other, p-cpe:/a:novell:opensuse:seamonkey-venkman, p-cpe:/a:novell:opensuse:xulrunner, p-cpe:/a:novell:opensuse:xulrunner-32bit, p-cpe:/a:novell:opensuse:xulrunner-buildsymbols, p-cpe:/a:novell:opensuse:xulrunner-debuginfo, p-cpe:/a:novell:opensuse:xulrunner-debuginfo-32bit, p-cpe:/a:novell:opensuse:xulrunner-debugsource, p-cpe:/a:novell:opensuse:xulrunner-devel, p-cpe:/a:novell:opensuse:xulrunner-devel-debuginfo, cpe:/o:novell:opensuse:12.2, cpe:/o:novell:opensuse:12.3

必要的 KB 項目: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2013/8/8

惡意利用途徑

Metasploit (Firefox toString console.time Privileged Javascript Injection)

參考資訊

CVE: CVE-2013-1701, CVE-2013-1702, CVE-2013-1704, CVE-2013-1705, CVE-2013-1708, CVE-2013-1709, CVE-2013-1710, CVE-2013-1711, CVE-2013-1713, CVE-2013-1714, CVE-2013-1717