Oracle Linux 5 / 6 / 7：firefox (ELSA-2015-1207)

critical Nessus Plugin ID 84534

語系：

概要

遠端 Oracle Linux 主機缺少一個安全性更新。

描述

來自 Red Hat 安全性公告 2015:1207：

現已提供適用於 Red Hat Enterprise Linux 5、6 和 7 的更新版 firefox 套件，可修正多個安全性問題。

Red Hat 產品安全性團隊已將此更新評等為具有重大安全性影響。可針對每個弱點從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。

Mozilla Firefox 是開放原始碼的網頁瀏覽器。XULRunner 為 Mozilla Firefox 提供 XUL 執行階段環境。

處理格式有誤之網頁內容時發現多個瑕疵。包含惡意內容的網頁可造成 Firefox 損毀，或可能利用執行 Firefox 之使用者的權限來執行任意程式碼。(CVE-2015-2724、CVE-2015-2725、CVE-2015-2722、CVE-2015-2727、CVE-2015-2728、CVE-2015-2729、CVE-2015-2731、CVE-2015-2733、CVE-2015-2734、CVE-2015-2735、CVE-2015-2736、CVE-2015-2737、CVE-2015-2738、CVE-2015-2739、CVE-2015-2740)

據發現，Firefox 在處理可能遭使用者覆寫的錯誤 (例如過期的憑證錯誤) 時，會略過金鑰釘選檢查。此瑕疵可允許使用者覆寫釘選的憑證，這應該是使用者無法執行的動作。(CVE-2015-2741)

在 Mozilla 的 PDF 檔案檢視器 PDF.js 中發現瑕疵。當與其他弱點結合時，可能以執行 Firefox 的使用者權限來執行任意程式碼。
(CVE-2015-2743)

Red Hat 要感謝 Mozilla 專案報告這些問題。上游確認 Bob Clary、Christian Holler、Bobby Holley、Andrew McCreight、Terrence Cole、Steve Fink、Mats Palmgren、 Wes Kocher、Andreas Pehrson、Jann Horn、Paul Bandha、Holger Fuhrmannek、Herre、Looben Yan、Ronald Crane 和 Jonas Jenwald 為這些問題的原始報告者。

建議所有 Firefox 的使用者皆升級至這些更新版套件，套件中含有可修正這些問題的 Firefox 38.1 ESR 版。安裝更新之後，Firefox 必須重新啟動，變更才會生效。