openSUSE 安全性更新:mozilla-js192 (mozilla-js192-5010)
critical Nessus Plugin ID 75958
語系:
概要
遠端 openSUSE 主機缺少安全性更新。說明
Mozilla XULRunner 已更新至 1.9.2.20 版。該更新可修正錯誤與安全性問題。下列安全性問題已修正:
http://www.mozilla.org/security/announce/2011/mfsa2011-30.html Mozilla Foundation 安全性公告 2011-30 (MFSA 2011-30)
dbg114-mozilla-js192-5010 mozilla-js192-5010 new_updateinfo 其他記憶體安全性危險
Mozilla 開發人員和社群成員已在 Firefox 3.6 及其他 Mozilla 相關產品所使用的瀏覽器引擎中,發現並修正數個記憶體安全錯誤。某些錯誤顯示,記憶體在特定情況下會遭到損毀,我們推測若有心人士有意操控,可至少惡意利用其中部分錯誤執行任意程式碼。
Gary Kwong、Igor Bukanov、Nils 和 Bob Clary 報告了會影響 Firefox 3.6 的記憶體安全性問題。(CVE-2011-2982)
dbg114-mozilla-js192-5010 mozilla-js192-5010 new_updateinfo SVGTextElement.getCharNumAtPosition() 中的當機
安全性研究人員 regenrecht 透過 TippingPoint 的零時差計劃報告,SVG 文字操控常式含有懸置指標弱點。(CVE-2011-0084)
dbg114-mozilla-js192-5010 mozilla-js192-5010 new_updateinfo 使用事件處置程式時發生的權限提升
Mozilla 安全性研究人員 moz_bug_r_a_4 報告,事件管理程式碼中存在一個弱點,可允許在錯誤內容中執行 JavaScript,其中包含不同網站中的 JavaScript,或可能是 chrome 有權限的內容。(CVE-2011-2981)
dbg114-mozilla-js192-5010 mozilla-js192-5010 new_updateinfo appendChild 中的懸置指標弱點
安全性研究人員 regenrecht 透過 TippingPoint 的零時差計劃報告,appendChild 並未正確考量其操作所基於的 DOM 物件,並可遭到惡意利用,從而解除參照無效的指標。(CVE-2011-2378)
dbg114-mozilla-js192-5010 mozilla-js192-5010 new_updateinfo 在內容區域中放置索引標籤元素時發生的權限提升
Mozilla 安全性研究人員 moz_bug_r_a4 報告,如果 web 內容可針對放置事件進行註冊,且瀏覽器索引標籤元素可放置到內容區域,則 web 內容可獲得 chrome 權限。(CVE-2011-2984)
dbg114-mozilla-js192-5010 mozilla-js192-5010 new_updateinfo ThinkPadSensor::Startup 中的二進位植入弱點
安全性研究人員 Acros Security 的 Mitja Kolsek 報告,ThinkPadSensor::Startup 可能遭到惡意利用,進而將惡意的 DLL 載入執行中的處理程序。(CVE-2011-2980) (此問題很可能僅限 Windows)
dbg114-mozilla-js192-5010 mozilla-js192-5010 new_updateinfo 使用 RegExp.input 時發生的私密資料洩漏
安全性研究人員 shutdown 報告,設定 RegExp.input 之後,可讀取來自其他網域的資料。(CVE-2011-2983)
解決方案
更新受影響的 mozilla-js192 套件。另請參閱
https://www.mozilla.org/en-US/security/advisories/mfsa2011-30/
Plugin 詳細資訊
嚴重性: Critical
ID: 75958
檔案名稱: suse_11_4_mozilla-js192-110817.nasl
版本: 1.8
類型: local
代理程式: unix
已發布: 2014/6/13
已更新: 2021/1/19
支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
風險資訊
VPR
風險因素: High
分數: 8.9
CVSS v2
風險因素: Critical
基本分數: 10
媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
弱點資訊
CPE: p-cpe:/a:novell:opensuse:mozilla-js192, p-cpe:/a:novell:opensuse:mozilla-js192-32bit, p-cpe:/a:novell:opensuse:mozilla-js192-debuginfo, p-cpe:/a:novell:opensuse:mozilla-js192-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-xulrunner192, p-cpe:/a:novell:opensuse:mozilla-xulrunner192-32bit, p-cpe:/a:novell:opensuse:mozilla-xulrunner192-buildsymbols, p-cpe:/a:novell:opensuse:mozilla-xulrunner192-debuginfo, p-cpe:/a:novell:opensuse:mozilla-xulrunner192-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-xulrunner192-debugsource, p-cpe:/a:novell:opensuse:mozilla-xulrunner192-devel, p-cpe:/a:novell:opensuse:mozilla-xulrunner192-devel-debuginfo, p-cpe:/a:novell:opensuse:mozilla-xulrunner192-gnome, p-cpe:/a:novell:opensuse:mozilla-xulrunner192-gnome-32bit, p-cpe:/a:novell:opensuse:mozilla-xulrunner192-gnome-debuginfo, p-cpe:/a:novell:opensuse:mozilla-xulrunner192-gnome-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-xulrunner192-translations-common, p-cpe:/a:novell:opensuse:mozilla-xulrunner192-translations-common-32bit, p-cpe:/a:novell:opensuse:mozilla-xulrunner192-translations-other, p-cpe:/a:novell:opensuse:mozilla-xulrunner192-translations-other-32bit, cpe:/o:novell:opensuse:11.4
必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2011/8/17
弱點發布日期: 2011/8/18
可惡意利用
ExploitHub (EH-11-772)
參考資訊
CVE: CVE-2011-0084, CVE-2011-2378, CVE-2011-2980, CVE-2011-2981, CVE-2011-2982, CVE-2011-2983, CVE-2011-2984