CentOS 4：firefox (CESA-2010:0966)

high Nessus 插件 ID 51777

语言：

简介

远程 CentOS 主机缺少安全更新。

描述

更新后的 firefox 程序包修复了多个安全问题，现在可用于 Red Hat Enterprise Linux 4、5 和 6。

Red Hat 安全响应团队已将此更新评级为具有严重安全影响。可从“参考”部分中的 CVE 链接获取针对每个漏洞的通用漏洞评分系统 (CVSS) 基本分数，其给出了详细的严重性等级。

Mozilla Firefox 是一款开源 Web 浏览器。

在对畸形 Web 内容的处理中发现多个缺陷。包含恶意内容的网页可导致 Firefox 崩溃，或者可能以运行 Firefox 的用户的权限执行任意代码。（CVE-2010-3766、CVE-2010-3767、CVE-2010-3772、CVE-2010-3776、CVE-2010-3777）

在 Firefox 处理畸形 JavaScript 的方式中发现一个缺陷。具有包含恶意 JavaScript 的对象的网站可导致 Firefox 以运行 Firefox 的用户权限来执行该 JavaScript。(CVE-2010-3771)

此更新向 Firefox 添加了对 Sanitiser for OpenType (OTS) 库的支持。该库通过在使用前验证字体文件阻止对畸形 OpenType 字体的潜在利用。
(CVE-2010-3768)

在 Firefox 加载 Java LiveConnect 脚本的方式中发现一个缺陷。
恶意 Web 内容可在加载 Java LiveConnect 脚本时导致插件对象升级权限，从而使该插件以运行 Firefox 的用户权限来执行 Java 代码。(CVE-2010-3775)

已发现在使用 Firebug 附加组件时，针对 CVE-2010-0179 的修复不完整。如果在已启用 Firebug 附加组件的情况下，用户访问包含恶意 JavaScript 的网站，则可导致 Firefox 以运行 Firefox 的用户权限来执行任意 JavaScript。(CVE-2010-3773)

在 Firefox 向用户呈现位置栏的方式中发现一个缺陷。当页面实际上是由攻击者控制的内容时，恶意网站可以诱骗用户认为正在访问由位置栏报告的站点。(CVE-2010-3774)

在 Firefox x-mac-arabic、x-mac-farsi 和 x-mac-hebrew 字符编码中发现一个跨站脚本 (XSS) 缺陷。
某些字符在显示时将转换为尖括号。如果服务器端脚本过滤错过这些情况，可导致 Firefox 以另一网站的权限执行 JavaScript 代码。(CVE-2010-3770)

有关这些缺陷的技术详细信息，请参阅 Firefox 3.6.13 的 Mozilla 安全公告。在本勘误表的“参考”部分可以找到 Mozilla 公告的链接。

所有 Firefox 用户应升级这些更新后的程序包，其中包含已修正了这些问题的 Firefox 版本 3.6.13。安装更新后，必须重新启动 Firefox 才能使更改生效。