Ubuntu 11.04:Firefox 漏洞 (USN-1222-1)

critical Nessus 插件 ID 56347
全新!插件严重性现在使用 CVSS v3

计算的插件严重性默认已更新为使用 CVSS v3。没有 CVSS v3 分数的插件将回退到 CVSS v2 来计算严重性。可以在设置下拉列表中切换严重性显示首选项。

简介

远程 Ubuntu 主机缺少与安全相关的修补程序。

描述

Benjamin Smedberg、Bob Clary、Jesse Ruderman、Bob Clary、Andrew McCreight、Andreas Gal、Gary Kwong、Igor Bukanov、Jason Orendorff、Jesse Ruderman 和 Marcia Knous 发现浏览器渲染引擎中存在多个内存漏洞。攻击者可能利用这些漏洞以调用 Firefox 的用户的权限执行任意代码。(CVE-2011-2995、CVE-2011-2997)

Boris Zbarsky 发现名为“location”的框架可遮蔽 window.location 对象,除非页面中的某个脚本已在创建此框架之前占用指向真正对象的引用。这违反了同源策略。恶意网站可能利用此缺陷来访问其他网站或本地文件系统。
(CVE-2011-2999)

Ian Graham 发现当存在多个 Location 标头时,Firefox 将使用第二个,从而导致可能的 CRLF 注入攻击。CRLF 注入问题可导致一系列攻击,比如 XSS(跨站脚本)漏洞、浏览器缓存中毒以及 Cookie 窃取。(CVE-2011-3000)

Mariusz Mlynski 发现如果可以说服用户按住 Enter 键,则恶意网站可能弹出下载对话框并选中默认的打开操作,或导致安装任意附加组件。这将导致可能以调用 Firefox 的用户的权限来运行恶意内容。(CVE-2011-2372、CVE-2011-3001)

Michael Jordon 和 Ben Hawkes 发现 WebGL 中存在缺陷。如果用户受到诱骗打开恶意页面,攻击者可导致浏览器崩溃。(CVE-2011-3002、CVE-2011-3003)

已发现 Firefox 在处理 ogg 文件时未正确释放内存。如果用户受到诱骗打开恶意页面,攻击者可导致浏览器崩溃。(CVE-2011-3005)

David Rees 和 Aki Helin 发现 JavaScript 引擎中存在问题。攻击者可利用此问题来造成浏览器崩溃,或者可能升级其在浏览器中的权限。(CVE-2011-3232)。

解决方案

更新受影响的 firefox 程序包。

另见

https://usn.ubuntu.com/1222-1/

插件详情

严重性: Critical

ID: 56347

文件名: ubuntu_USN-1222-1.nasl

版本: 1.9

类型: local

代理: unix

发布时间: 2011/9/30

最近更新时间: 2019/9/19

依存关系: ssh_get_info.nasl

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: Critical

基本分数: 10

矢量: AV:N/AC:L/Au:N/C:C/I:C/A:C

漏洞信息

CPE: p-cpe:/a:canonical:ubuntu_linux:firefox, cpe:/o:canonical:ubuntu_linux:11.04

必需的 KB 项: Host/cpu, Host/Ubuntu, Host/Ubuntu/release, Host/Debian/dpkg-l

补丁发布日期: 2011/9/29

漏洞发布日期: 2011/9/28

参考资料信息

CVE: CVE-2011-2372, CVE-2011-2995, CVE-2011-2997, CVE-2011-2999, CVE-2011-3000, CVE-2011-3001, CVE-2011-3002, CVE-2011-3003, CVE-2011-3004, CVE-2011-3005, CVE-2011-3232

USN: 1222-1