检测

SuSE 11 安全更新:Mozilla(SAT 修补程序编号 1328)

critical Nessus 插件 ID 52687

语言:

简介

远程 SuSE 11 主机缺少一个或多个安全更新。

描述

此更新将 Mozilla XULRunner 引擎升级到 1.9.0.14 稳定版本。

它还修复各种安全问题:

- / CVE-2009-30 /(MFSA 2009-47 / CVE-2009-3069 / CVE-2009-3070 / CVE-2009-3071 / CVE-2009-3072 / CVE-2009-3073)

- Mozilla 开发人员和社区成员已发现并修复了 Firefox 和其他基于 Mozilla 的产品中使用的浏览器引擎中的多个稳定性缺陷。这些崩溃中的一部分在某些情况下表明内存损坏,我们推测只要通过足够的手段至少能利用其中的部分缺陷来运行任意代码。(CVE-2009-3075)

- Mozilla 安全研究人员 Jesse Ruderman 报告称,通过 pkcs11.addmodule 或 pkcs11.deletemodule 添加或删除安全模块时,产生的对话框信息性不足。缺少了充分的警告,攻击者可以引诱受害者安装恶意 PKCS11 模块并影响受害者的浏览器的加密完整性。
 安全研究人员 Dan Kaminsky 报告称此问题未在 Firefox 3.0 中得到修复,在某些情况下,可以从远程位置安装 pkcs11 模块。Firefox 3.5 版本不受影响。(MFSA 2009-48 / CVE-2009-3076)

- 某匿名安全研究人员通过 TippingPoint 零日计划报告称可以通过特殊方式操纵 XUL 树元素的列,这样会使属于该列的指针指向已释放的内存。攻击者可能会利用此漏洞来导致受害者的浏览器崩溃并在受害者的计算机上运行任意代码。(MFSA 2009-49 / CVE-2009-3077)

- 安全研究人员 Juan Pablo Lopez Yacubian 报告称,用于渲染位置栏和其他文本字段的默认 Windows 字体会错误地显示某些高行距 Unicode 字符。在这样的情况下,高行距会导致输入字段中剩余的文本垂直滚动而无法显示。攻击者可利用此漏洞来阻止用户查看恶意站点的 URL。Corrie Sloot 也单独将此问题报告给 Mozilla。(MFSA 2009-50 / CVE-2009-3078)

- Mozilla 安全研究人员 moz_bug_r_a4 报告称,BrowserFeedWriter 可被利用于以经提升的权限从 Web 内容中运行 JavaScript 代码。利用此漏洞,攻击者可以构造包含恶意 JavaScript 的对象并导致 FeedWriter 处理该对象,从而以 chrome 权限运行恶意代码。Thunderbird 不支持 BrowserFeedWriter 对象,并且其默认配置不易遭受攻击。如果用户安装了任何添加以类似方式实现的功能然后在邮件消息中启用 JavaScript 的附加组件,则 Thunderbird 可能容易遭受攻击。这不是默认设置,我们强烈建议用户不要在邮件中运行 JavaScript。(MFSA 2009-51 / CVE-2009-3079)

解决方案

应用 SAT 修补程序编号 1328。

另见

http://www.mozilla.org/security/announce/2009/mfsa2009-47.html

http://www.mozilla.org/security/announce/2009/mfsa2009-48.html

http://www.mozilla.org/security/announce/2009/mfsa2009-49.html

http://www.mozilla.org/security/announce/2009/mfsa2009-50.html

http://www.mozilla.org/security/announce/2009/mfsa2009-51.html

https://bugzilla.novell.com/show_bug.cgi?id=534458

http://support.novell.com/security/cve/CVE-2009-3069.html

http://support.novell.com/security/cve/CVE-2009-3070.html

http://support.novell.com/security/cve/CVE-2009-3071.html

http://support.novell.com/security/cve/CVE-2009-3072.html

http://support.novell.com/security/cve/CVE-2009-3073.html

http://support.novell.com/security/cve/CVE-2009-3075.html

http://support.novell.com/security/cve/CVE-2009-3076.html

http://support.novell.com/security/cve/CVE-2009-3077.html

http://support.novell.com/security/cve/CVE-2009-3078.html

http://support.novell.com/security/cve/CVE-2009-3079.html

插件详情

严重性: Critical

ID: 52687

文件名: suse_11_mozilla-xulrunner190-090922.nasl

版本: 1.11

类型: local

代理: unix

发布时间: 2011/3/17

最近更新时间: 2021/1/14

支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: Critical

基本分数: 10

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

漏洞信息

CPE: p-cpe:/a:novell:suse_linux:11:mozilla-xulrunner190, p-cpe:/a:novell:suse_linux:11:mozilla-xulrunner190-32bit, p-cpe:/a:novell:suse_linux:11:mozilla-xulrunner190-gnomevfs, p-cpe:/a:novell:suse_linux:11:mozilla-xulrunner190-translations, cpe:/o:novell:suse_linux:11

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

补丁发布日期: 2009/9/22

参考资料信息

CVE: CVE-2009-3069, CVE-2009-3070, CVE-2009-3071, CVE-2009-3072, CVE-2009-3073, CVE-2009-3075, CVE-2009-3076, CVE-2009-3077, CVE-2009-3078, CVE-2009-3079

CWE: 20, 94