openSUSE 安全性更新:MozillaThunderbird / seamonkey (openSUSE-SU-2014:0584-1)
high Nessus Plugin ID 75333
語系:
概要
遠端 openSUSE 主機缺少安全性更新。說明
Mozilla Thunderbird 已更新至 24.4.0 版。Mozilla SeaMonkey 已更新至 2.25 版。- MFSA 2014-15/CVE-2014-1493/CVE-2014-1494 其他記憶體安全危險
- MFSA 2014-17/CVE-2014-1497 (bmo#966311) WAV 檔案解碼期間有超出邊界讀取問題
- MFSA 2014-18/CVE-2014-1498 (bmo#935618) crypto.generateCRMFRequest 沒有驗證金鑰類型
- MFSA 2014-19/CVE-2014-1499 (bmo#961512) WebRTC 權限提示時發生偽造攻擊
- MFSA 2014-20/CVE-2014-1500 (bmo#956524) onbeforeunload 和 JavaScript 導覽 DOS
- MFSA 2014-22/CVE-2014-1502 (bmo#972622) WebGL 內容從一個網域插入另一個網域的轉譯
- MFSA 2014-23/CVE-2014-1504 (bmo#911547) 工作階段還原未保留 data: 文件的內容安全性原則
- MFSA 2014-26/CVE-2014-1508 (bmo#963198) 透過 MathML 多邊體轉譯而造成資訊洩漏
- MFSA 2014-27/CVE-2014-1509 (bmo#966021) 在 PDF 字型轉譯期間在 Cairo 中發生記憶體損毀
- MFSA 2014-28/CVE-2014-1505 (bmo#941887) SVG 透過 feDisplacementMap 篩選資訊洩漏
- MFSA 2014-29/CVE-2014-1510/CVE-2014-1511 (bmo#982906、bmo#982909) 使用 WebIDL 實作的 API 時發生權限提升
- MFSA 2014-30/CVE-2014-1512 (bmo#982957) TypeObject 中有釋放後使用問題
- MFSA 2014-31/CVE-2014-1513 (bmo#982974) 透過刪除 ArrayBuffer 物件造成超出邊界讀/寫錯誤
- MFSA 2014-32/CVE-2014-1514 (bmo#983344) 刪除後,透過 TypedArrayObject 造成超出邊界寫入錯誤
解決方案
更新受影響的 MozillaThunderbird / seamonkey 套件。另請參閱
https://bugzilla.novell.com/show_bug.cgi?id=868603
https://lists.opensuse.org/opensuse-updates/2014-04/msg00064.html
Plugin 詳細資訊
嚴重性: High
ID: 75333
檔案名稱: openSUSE-2014-321.nasl
版本: 1.7
類型: local
代理程式: unix
已發布: 2014/6/13
已更新: 2021/1/19
支援的感應器: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
風險資訊
VPR
風險因素: Critical
分數: 9.5
CVSS v2
風險因素: High
基本分數: 9.3
時間分數: 7.3
媒介: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
弱點資訊
CPE: p-cpe:/a:novell:opensuse:mozillathunderbird, p-cpe:/a:novell:opensuse:mozillathunderbird-buildsymbols, p-cpe:/a:novell:opensuse:mozillathunderbird-debuginfo, p-cpe:/a:novell:opensuse:mozillathunderbird-debugsource, p-cpe:/a:novell:opensuse:mozillathunderbird-devel, p-cpe:/a:novell:opensuse:mozillathunderbird-translations-common, p-cpe:/a:novell:opensuse:mozillathunderbird-translations-other, p-cpe:/a:novell:opensuse:enigmail, p-cpe:/a:novell:opensuse:enigmail-debuginfo, p-cpe:/a:novell:opensuse:seamonkey, p-cpe:/a:novell:opensuse:seamonkey-debuginfo, p-cpe:/a:novell:opensuse:seamonkey-debugsource, p-cpe:/a:novell:opensuse:seamonkey-dom-inspector, p-cpe:/a:novell:opensuse:seamonkey-irc, p-cpe:/a:novell:opensuse:seamonkey-translations-common, p-cpe:/a:novell:opensuse:seamonkey-translations-other, p-cpe:/a:novell:opensuse:seamonkey-venkman, cpe:/o:novell:opensuse:12.3, cpe:/o:novell:opensuse:13.1
必要的 KB 項目: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2014/4/22
可惡意利用
Metasploit (Firefox WebIDL Privileged Javascript Injection)
參考資訊
CVE: CVE-2014-1493, CVE-2014-1494, CVE-2014-1497, CVE-2014-1498, CVE-2014-1499, CVE-2014-1500, CVE-2014-1502, CVE-2014-1504, CVE-2014-1505, CVE-2014-1508, CVE-2014-1509, CVE-2014-1510, CVE-2014-1511, CVE-2014-1512, CVE-2014-1513, CVE-2014-1514
BID: 66426, 66428, 66429, 66203, 66206, 66207, 66209, 66240, 66412, 66417, 66418, 66419, 66421, 66422, 66423, 66425