偵測

SuSE 11.3 安全性更新:Mozilla Firefox (SAT 修補程式編號 10064)

medium Nessus Plugin ID 80023

語系:

概要

遠端 SuSE 11 主機缺少一個或多個安全性更新。

說明

Mozilla Firefox 已更新至 31.3ESR 版,可修正錯誤和安全性問題。

- Mozilla 開發人員和社群已發現並修正 Firefox 和其他 Mozilla 相關產品所使用之瀏覽器引擎的數個記憶體安全性錯誤。某些錯誤顯示,記憶體在特定情況下會遭到損毀,我們推測若有心人士有意操控,可至少惡意利用其中部分錯誤執行任意程式碼。(MFSA 2014-83 / CVE-2014-1588 / CVE-2014-1587)

- Rapid7 的安全性研究人員 Joe Vennix 報告,傳遞 JavaScript 物件至模擬輸入資料流的 XMLHttpRequest 時會發生損毀。此損毀問題不會遭到惡意入侵,只能用於拒絕服務攻擊。(MFSA 2014-85 / CVE-2014-1590)

- 安全性研究人員 Berend-Jan Wever 報告,對於在使用 document.open() 建立之文件中寫入的 HTML 進行剖析期間,觸發建立第二個 root 元素時,會發生釋放後使用。這可能會導致潛在的惡意利用當機。(MFSA 2014-87 / CVE-2014-1592)

- Google Chrome 安全性團隊的安全性研究人員 Abhishek Arya (Inferno) 使用位址偵察工具時,發現剖析媒體內容的過程中有一個緩衝區溢位。這可能會導致潛在的惡意利用當機。(MFSA 2014-88 / CVE-2014-1593)

- Georgia Tech Information Security Center (GTISC) 的安全性研究人員 Byoungyoung Lee、Chengyu Song 和 Taesoo Kim 報告,BasicThebesLayer 至 BasicContainerLayer 的轉換不良,導致發生未定義的行為。可能可透過部分編譯器惡意利用此行為,但目前仍未發現可透過 web 內容觸發此行為的確切機制。(MFSA 2014-89 / CVE-2014-1594)

- 安全性研究人員 Kent Howard 報告,OS X 10.10 (Yosemite) 中 (即 /tmp 本機目錄內 OS X 的 CoreGraphics 架構建立記錄檔的位置) 有一個 Apple 問題。這些記錄檔含有 Mozilla 程式在其作業期間的所有輸入記錄。在 10.6 至 10.9 版的 OS X 版本中,CoreGraphics 皆有此記錄功能,但預設為關閉。由於架構中存在初始化錯誤,OS X 10.10 中部分使用自訂記憶體配置器的應用程式,例如:jemalloc,會預設為開啟此記錄功能。現已明確關閉架構的輸入事件記錄功能,解決了 Mozilla 產品中的上述問題。對於有弱點的系統,此問題可導致私密資料 (例如:使用者名稱、密碼及其他輸入資料) 儲存在本機系統的記錄檔中。(MFSA 2014-90 / CVE-2014-1595)

解決方案

套用 SAT 修補程式編號 10064。

另請參閱

http://www.mozilla.org/security/announce/2014/mfsa2014-83.html

http://www.mozilla.org/security/announce/2014/mfsa2014-85.html

http://www.mozilla.org/security/announce/2014/mfsa2014-87.html

http://www.mozilla.org/security/announce/2014/mfsa2014-88.html

http://www.mozilla.org/security/announce/2014/mfsa2014-89.html

http://www.mozilla.org/security/announce/2014/mfsa2014-90.html

https://bugzilla.novell.com/show_bug.cgi?id=908009

http://support.novell.com/security/cve/CVE-2014-1587.html

http://support.novell.com/security/cve/CVE-2014-1588.html

http://support.novell.com/security/cve/CVE-2014-1589.html

http://support.novell.com/security/cve/CVE-2014-1590.html

http://support.novell.com/security/cve/CVE-2014-1591.html

http://support.novell.com/security/cve/CVE-2014-1592.html

http://support.novell.com/security/cve/CVE-2014-1593.html

http://support.novell.com/security/cve/CVE-2014-1594.html

http://support.novell.com/security/cve/CVE-2014-1595.html

Plugin 詳細資訊

嚴重性: Medium

ID: 80023

檔案名稱: suse_11_firefox-201412-141208.nasl

版本: 1.6

類型: local

代理程式: unix

已發布: 2014/12/15

已更新: 2021/1/19

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: Medium

基本分數: 6.8

媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

弱點資訊

CPE: p-cpe:/a:novell:suse_linux:11:mozillafirefox, p-cpe:/a:novell:suse_linux:11:mozillafirefox-translations, cpe:/o:novell:suse_linux:11

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

修補程式發佈日期: 2014/12/8

參考資訊

CVE: CVE-2014-1587, CVE-2014-1588, CVE-2014-1589, CVE-2014-1590, CVE-2014-1591, CVE-2014-1592, CVE-2014-1593, CVE-2014-1594, CVE-2014-1595