Ubuntu 11.04 / 11.10:mozvoikko、ubufox 更新 (USN-1306-2)
critical Nessus 插件 ID 57458
语言:
简介
远程 Ubuntu 主机缺少一个或多个与安全有关的修补程序。描述
USN-1306-1 修复了 Firefox 中的漏洞。此更新提供用于 Firefox 9 的 Mozvoikko 和 ubufox 更新程序包。Alexandre Poirot、Chris Blizzard、Kyle Huey、Scoobidiver、Christian Holler、David Baron、Gary Kwong、Jim Blandy、Bob Clary、Jesse Ruderman、Marcia Knous 以及 Rober Longson 发现多种内存安全问题,这些问题可能被用于造成 Firefox 崩溃或作为调用 Firefox 的用户执行任意代码。
(CVE-2011-3660)
Aki Helin 发现 YARR 正则表达式库中存在崩溃问题,该崩溃可由 Web 内容中的 JavaScript 触发。(CVE-2011-3661)
已发现,如果在 DOMAttrModified 事件处理期间删除 SVG 元素,则 Mozilla SVG 实现中的缺陷可导致越界内存访问。攻击者可能利用此漏洞造成 Firefox 崩溃。(CVE-2011-3658)
Mario Heiderich 发现即使当 JavaScript 禁用时也可以利用 SVG 动画 accessKey 事件检测键击。在用户认为脚本已禁用的情况下,恶意网页可能利用此问题来诱骗用户与提示进行交互,并使其认为该提示来自浏览器。
(CVE-2011-3663)
已发现在将 OGG <video> 元素缩放到极端大小时,可能造成 Firefox 崩溃。
(CVE-2011-3665)。
解决方案
更新受影响的 xul-ext-mozvoikko 和/或 xul-ext-ubufox 程序包。另见
插件详情
严重性: Critical
ID: 57458
文件名: ubuntu_USN-1306-2.nasl
版本: 1.19
类型: local
代理: unix
发布时间: 2012/1/9
最近更新时间: 2019/9/19
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
风险信息
VPR
风险因素: High
分数: 8.5
CVSS v2
风险因素: Critical
基本分数: 10
时间分数: 8.7
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
漏洞信息
CPE: p-cpe:/a:canonical:ubuntu_linux:xul-ext-mozvoikko, p-cpe:/a:canonical:ubuntu_linux:xul-ext-ubufox, cpe:/o:canonical:ubuntu_linux:11.04, cpe:/o:canonical:ubuntu_linux:11.10
必需的 KB 项: Host/cpu, Host/Debian/dpkg-l, Host/Ubuntu, Host/Ubuntu/release
可利用: true
易利用性: Exploits are available
补丁发布日期: 2012/1/6
漏洞发布日期: 2011/12/20
可利用的方式
CANVAS (CANVAS)
Metasploit (Firefox nsSVGValue Out-of-Bounds Access Vulnerability)
参考资料信息
CVE: CVE-2011-3658, CVE-2011-3660, CVE-2011-3661, CVE-2011-3663, CVE-2011-3665
BID: 51133, 51134, 51135, 51136, 51138
USN: 1306-2