Ubuntu 11.04:firefox 漏洞 (USN-1192-1)

critical Nessus 插件 ID 55898

简介

远程 Ubuntu 主机缺少与安全相关的修补程序。

描述

Aral Yaman 发现 WebGL 引擎中存在漏洞。攻击者可能利用此漏洞来导致 Firefox 崩溃,或以调用 Firefox 的用户的权限执行任意代码。(CVE-2011-2989)

Vivekanand Bolajwar 在 JavaScript 引擎中发现一个漏洞。攻击者可能利用此漏洞来导致 Firefox 崩溃,或以调用 Firefox 的用户的权限执行任意代码。(CVE-2011-2991)

Bert Hubert 和 Theo Snelleman 在 Ogg 读取程序中发现一个漏洞。攻击者可能利用此漏洞来导致 Firefox 崩溃,或以调用 Firefox 的用户的权限执行任意代码。(CVE-2011-2991)

Robert Kaiser、Jesse Ruderman、Gary Kwong、Christoph Diehl、Martijn Wargers、Travis Emmitt、Bob Clary 和 Jonathan Watt 在浏览器渲染引擎中发现多个内存漏洞。攻击者可能利用这些漏洞以调用 Firefox 的用户的权限执行任意代码。(CVE-2011-2985)

Rafael Gieschke 发现未签名的 JavaScript 可以调用已签名 JAR 中的脚本。这可能允许攻击者以签名 JAR 的身份和权限来执行任意代码。
(CVE-2011-2993)

Michael Jordon 发现过长的着色器程序可能导致缓冲区溢出。攻击者可能利用此漏洞来导致 Firefox 崩溃,或以调用 Firefox 的用户的权限执行任意代码。(CVE-2011-2988)

Michael Jordon 在 Firefox 的 WebGL 实现所使用的 ANGLE 库中发现堆溢出。攻击者可能利用此漏洞来导致 Firefox 崩溃,或以调用 Firefox 的用户的权限执行任意代码。(CVE-2011-2987)

已发现一个 SVG 文本操纵例程中包含悬摆指针漏洞。攻击者可能利用此漏洞来导致 Firefox 崩溃,或以调用 Firefox 的用户的权限执行任意代码。(CVE-2011-0084)

Mike Cardwell 发现内容安全策略冲突报告未能从请求标头列表中剥离出代理授权凭据。这可能允许恶意网站捕获代理授权凭据。Daniel Veditz 发现重定向到带有内容安全策略的网站会导致在构建的策略中出现主机解析错误。这可能允许恶意网站避开其他网站的内容安全策略。(CVE-2011-2990)。

解决方案

更新受影响的 firefox 程序包。

另见

https://usn.ubuntu.com/1192-1/

插件详情

严重性: Critical

ID: 55898

文件名: ubuntu_USN-1192-1.nasl

版本: 1.8

类型: local

代理: unix

发布时间: 2011/8/18

最近更新时间: 2019/9/19

支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: Critical

基本分数: 10

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

漏洞信息

CPE: p-cpe:/a:canonical:ubuntu_linux:firefox, cpe:/o:canonical:ubuntu_linux:11.04

必需的 KB 项: Host/cpu, Host/Ubuntu, Host/Ubuntu/release, Host/Debian/dpkg-l

补丁发布日期: 2011/8/17

漏洞发布日期: 2011/8/18

参考资料信息

CVE: CVE-2011-0084, CVE-2011-2985, CVE-2011-2987, CVE-2011-2988, CVE-2011-2989, CVE-2011-2990, CVE-2011-2991, CVE-2011-2992, CVE-2011-2993

USN: 1192-1