openSUSE 安全性更新:seamonkey (openSUSE-SU-2011:0957-1)

critical Nessus Plugin ID 75739
新推出!弱點優先順序評分 (VPR)

Tenable 會為每個弱點計算動態 VPR。VPR 將弱點資訊與威脅情報和機器學習演算法加以結合,藉此預測攻擊者最有可能利用哪些弱點發動攻擊。查看詳細資訊: VPR 是什麼?它跟 CVSS 有何不同?

VPR 評分: 5.9

Synopsis

遠端 openSUSE 主機缺少安全性更新。

描述

Mozilla SeaMonkey 套件已更新至 2.3 版。

該更新可修正錯誤與安全性問題。下列安全性問題已修正:
http://www.mozilla.org/security/announce/2011/mfsa2011-33.html Mozilla Foundation 安全性公告 2011-33 (MFSA 2011-33) Mozilla Foundation 安全性公告 2011-33

- 其他記憶體安全危險 (rv:4.0) Mozilla 已在 SeaMonkey 2.2 和其他以 Mozilla 為基礎之產品的瀏覽器引擎中,發現並修正數個記憶體安全性錯誤。某些錯誤顯示,記憶體在特定情況下會遭到損毀,我們推測若有心人士有意操控,可至少惡意利用其中部分錯誤執行任意程式碼。

Aral Yaman 報告了 WebGL 當機問題,該問題會影響 SeaMonkey 2.2。(CVE-2011-2989)

Vivekanand Bolajwar 報告了 JavaScript 當機問題,該問題會影響 SeaMonkey 2.2。(CVE-2011-2991)

Fox-IT 的 Bert Hubert 和 Theo Snelleman 報告了 Ogg 閱讀程式的當機問題,該問題會影響 SeaMonkey 2.2。
(CVE-2011-2992)

Mozilla 開發人員和社群成員 Robert Kaiser、Jesse Ruderman、moz_bug_r_a4、Mardeg、Gary Kwong、Christoph Diehl、Martijn Wargers、Travis Emmitt、Bob Clary 和 Jonathan Watt 報告了記憶體安全問題,這些問題會影響 SeaMonkey 2.2。(CVE-2011-2985)

- 未簽署的指令碼可呼叫已簽署 JAR 中的指令碼

Rafael Gieschke 報告,未簽署 JavaScript 可呼叫簽署 JAR 內的指令碼,進而繼承簽署 JAR 之網站的身分以及使用者授與簽署之 JAR 的任何權限。
(CVE-2011-2993)

- 使用 WebGL 著色器時發生字串損毀

Context IS 的 Michael Jordon 報告,過長著色器程式可導致緩衝區滿溢,並讓用來儲存著色器原始程式碼的字串類別損毀。(CVE-2011-2988)

- ANGLE 程式庫中有堆積溢位

Context IS 的 Michael Jordon 報告,Mozilla 的 WebGL 實作所使用的 ANGLE 程式庫中存在可能遭惡意利用的堆積溢位瑕疵。(CVE-2011-2987)

- SVGTextElement.getCharNumAtPosition() 中的當機

安全性研究人員 regenrecht 透過 TippingPoint 的零時差計劃報告,SVG 文字操控常式含有懸置指標弱點。(CVE-2011-0084)

- 使用內容安全性原則報告時發生認證洩漏

Mike Cardwell 報告,內容安全性原則違規報告無法從要求標題清單中去除 Proxy 授權認證。Daniel Veditz 報告,重新導向至具有內容安全性原則的網站,會導致錯誤解析建構原則中的主機。
(CVE-2011-2990)

- 使用畫布和 Windows D2D 時跨來源資料遭竊

nasalislarvatus3000 報告,當使用 Windows D2D 硬體加速時,可將一個網域中的影像資料插入畫布中並由其他網域讀取。(CVE-2011-2986)

解決方案

更新受影響的 seamonkey 套件。

另請參閱

https://www.mozilla.org/en-US/security/advisories/mfsa2011-33/

https://bugzilla.novell.com/show_bug.cgi?id=712224

https://lists.opensuse.org/opensuse-updates/2011-08/msg00039.html

Plugin 詳細資訊

嚴重性: Critical

ID: 75739

檔案名稱: suse_11_3_seamonkey-110819.nasl

版本: 1.8

類型: local

代理程式: unix

已發布: 2014/6/13

已更新: 2021/1/14

相依性: ssh_get_info.nasl

風險資訊

風險因素: Critical

VPR 評分: 5.9

CVSS v2.0

基本分數: 10

媒介: AV:N/AC:L/Au:N/C:C/I:C/A:C

弱點資訊

CPE: p-cpe:/a:novell:opensuse:seamonkey, p-cpe:/a:novell:opensuse:seamonkey-dom-inspector, p-cpe:/a:novell:opensuse:seamonkey-irc, p-cpe:/a:novell:opensuse:seamonkey-translations-common, p-cpe:/a:novell:opensuse:seamonkey-translations-other, p-cpe:/a:novell:opensuse:seamonkey-venkman, cpe:/o:novell:opensuse:11.3

必要的 KB 項目: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

修補程式發佈日期: 2011/8/19

參考資訊

CVE: CVE-2011-0084, CVE-2011-2985, CVE-2011-2986, CVE-2011-2987, CVE-2011-2988, CVE-2011-2989, CVE-2011-2990, CVE-2011-2991, CVE-2011-2992, CVE-2011-2993