Ubuntu 14.04 LTS:Unity Integration for Firefox、Unity Websites Integration 和 Ubuntu Online Accounts 延伸模組更新 (USN-2743-3)
high Nessus Plugin ID 86144
語系:
概要
遠端 Ubuntu 主機缺少安全性更新。說明
USN-2743-1 已修復 Firefox 中的弱點。未來的 Firefox 更新會要求所有附加元件進行簽章,且 unity-firefox-extension、webapps-greasemonkey 和 webaccounts-browser-extension 將不會經過簽署處理程序。因為這些附加元件目前中斷了搜尋引擎安裝 (LP:#1069793) 時,此更新會將附加元件從系統中移除,進而將其永久停用。由此給您帶來的任何不便,我們深表歉意。
Andrew Osmond、Olli Pettay、Andrew Sutherland、Christian Holler、David Major、Andrew McCreight、Cameron McCormack、Bob Clary 和 Randell Jesup 發現 Firefox 有多個記憶體安全性問題。如果使用者遭到誘騙而開啟特製網站,攻擊者可能加以惡意利用,透過損毀應用程式來引發拒絕服務,或以叫用 Firefox 的使用者權限執行任意程式碼。(CVE-2015-4500、CVE-2015-4501)
Andre Bargull 發現,當網頁使用以特定方式定義的處置程式,建立視窗的指令碼式代理伺服器時,系統會傳遞內部視窗的參照,而非外部視窗的參照。(CVE-2015-4502)
Felix Grobert 發現,某些情況下 QCMS 色彩管理程式庫發生超出邊界讀取。如果使用者遭到誘騙而開啟特製的網站,攻擊者可能惡意利用此弱點,透過應用程式損毀造成拒絕服務,或是取得敏感資訊。(CVE-2015-4504)
Khalil Zhani 發現,在某些情況下剖析 VP9 內容時出現緩衝區溢位問題。如果使用者遭到誘騙而開啟特製網站,攻擊者可能加以惡意利用,透過損毀應用程式來引發拒絕服務,或以叫用 Firefox 的使用者權限執行任意程式碼。(CVE-2015-4506)
Spandan Veggalam 發現,在某些情況下使用除錯程式 API 時會當機。如果使用者遭到誘騙而在使用除錯程式的同時開啟特製的網站,攻擊者可能加以惡意利用,進而以叫用 Firefox 的使用者權限執行任意程式碼。(CVE-2015-4507)
Juho Nurminen 發現,某些情況下在閱讀模式中 URL 列會顯示錯誤的 URL。如果使用者遭到誘騙而開啟特製的網站,攻擊者可能加以惡意利用,藉此發動 URL 偽造攻擊。(CVE-2015-4508)
據發現,在某些情況下,操控 HTML 媒體內容時會發生釋放後使用問題。如果使用者遭到誘騙而開啟特製網站,攻擊者可能加以惡意利用,透過損毀應用程式來引發拒絕服務,或以叫用 Firefox 的使用者權限執行任意程式碼。(CVE-2015-4509)
Looben Yang 發現,在某些情況下透過 IndexedDB 使用共用的背景工作時,會出現釋放後使用錯誤。如果使用者遭到誘騙而開啟特製網站,攻擊者可能加以惡意利用,透過損毀應用程式來引發拒絕服務,或以叫用 Firefox 的使用者權限執行任意程式碼。
(CVE-2015-4510)
Francisco Alonso 發現,某些情況下 2D 畫布轉譯期間發生超出邊界讀取。如果使用者遭到誘騙而開啟特製的網站,攻擊者可能加以惡意利用,藉此取得敏感資訊。(CVE-2015-4512)
Jeff Walden 發現,某些情況下可變更不可變的內容。如果使用者遭到誘騙而開啟特製的網站,攻擊者可能惡意利用此弱點,在有權限的範圍內執行任意指令碼。(CVE-2015-4516)
Ronald Crane 報告了多個弱點。如果使用者遭到誘騙而開啟特製網站,攻擊者可能加以惡意利用,透過損毀應用程式來引發拒絕服務,或以叫用 Firefox 的使用者權限執行任意程式碼。
(CVE-2015-4517, CVE-2015-4521, CVE-2015-4522, CVE-2015-7174, CVE-2015-7175, CVE-2015-7176, CVE-2015-7177, CVE-2015-7180)
Mario Gomes 發現,重新導向後若拖放影像,會將重新導向的 URL 洩漏給指令碼。攻擊者可能會利用此弱點取得敏感資訊。(CVE-2015-4519)
Ehsan Akhgari 發現 CORS 預檢要求有 2 個問題。攻擊者可能加以惡意利用而繞過 CORS 限制。(CVE-2015-4520)
請注意,Tenable Network Security 已直接從 Ubuntu 安全性公告擷取前述描述區塊。Tenable 已盡量在不造成其他問題的前提下,嘗試自動清理並將其格式化。
解決方案
更新受影響的套件。另請參閱
Plugin 詳細資訊
嚴重性: High
ID: 86144
檔案名稱: ubuntu_USN-2743-3.nasl
版本: 2.13
類型: local
代理程式: unix
已發布: 2015/9/25
已更新: 2023/10/23
支援的感應器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.9
CVSS v2
風險因素: High
基本分數: 9.3
時間分數: 6.9
媒介: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
CVSS 評分資料來源: CVE-2015-4516
弱點資訊
CPE: p-cpe:/a:canonical:ubuntu_linux:xul-ext-unity, p-cpe:/a:canonical:ubuntu_linux:xul-ext-webaccounts, p-cpe:/a:canonical:ubuntu_linux:xul-ext-websites-integration, cpe:/o:canonical:ubuntu_linux:14.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:libufe-xidgetter0, p-cpe:/a:canonical:ubuntu_linux:webaccounts-chromium-extension, p-cpe:/a:canonical:ubuntu_linux:webaccounts-extension-common
必要的 KB 項目: Host/cpu, Host/Ubuntu, Host/Ubuntu/release, Host/Debian/dpkg-l
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2015/9/24
弱點發布日期: 2015/9/24
參考資訊
CVE: CVE-2015-4500, CVE-2015-4501, CVE-2015-4502, CVE-2015-4504, CVE-2015-4506, CVE-2015-4507, CVE-2015-4508, CVE-2015-4509, CVE-2015-4510, CVE-2015-4512, CVE-2015-4516, CVE-2015-4517, CVE-2015-4519, CVE-2015-4520, CVE-2015-4521, CVE-2015-4522, CVE-2015-7174, CVE-2015-7175, CVE-2015-7176, CVE-2015-7177, CVE-2015-7180
USN: 2743-3