SeaMonkey < 2.8.0 多种漏洞

high Nessus 插件 ID 58352

简介

远程 Windows 主机包含受多种漏洞影响的 Web 浏览器。

描述

已安装的 SeaMonkey 版本低于 2.8.0。这些版本可能受到以下安全问题的影响:

- 多种内存损坏问题。通过诱骗用户访问特别构建的页面,这些问题可能会允许攻击者在受影响的应用程序的上下文中执行任意代码。(CVE-2012-0454、CVE-2012-0457、CVE-2012-0459、CVE-2012-0461、CVE-2012-0462、CVE-2012-0463、CVE-2012-0464)

- HTTP 标头安全绕过漏洞,攻击者可利用此漏洞绕过某些安全限制并进行跨站脚本攻击。(CVE-2012-0451)。

- 存在可被攻击者利用的安全绕过漏洞,前提是可诱骗受害者通过将特别构建的链接拖动到“主页”按钮 URL 来设置新的主页,此操作会将用户的主页设置为“javascript:”URL。(CVE-2012-0458)

- SVG 过滤器中的越界读取所造成的信息泄露漏洞。(CVE-2012-0456)

- 可通过将“javascript:”链接拖放到框架上来触发的跨站脚本漏洞。(CVE-2012-0455)

-“window.fullScreen”可被不受信任的内容写入,从而允许攻击者执行 UI 欺骗攻击。(CVE-2012-0460)

解决方案

升级到 SeaMonkey 2.8.0 或更高版本。

另见

https://www.mozilla.org/en-US/security/advisories/mfsa2012-12/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-13/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-14/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-15/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-16/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-17/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-18/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-19/

插件详情

严重性: High

ID: 58352

文件名: seamonkey_28.nasl

版本: 1.11

类型: local

代理: windows

系列: Windows

发布时间: 2012/3/15

最近更新时间: 2018/7/27

支持的传感器: Nessus Agent

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: High

基本分数: 9.3

时间分数: 6.9

矢量: AV:N/AC:M/Au:N/C:C/I:C/A:C

时间矢量: E:U/RL:OF/RC:C

漏洞信息

CPE: cpe:/a:mozilla:seamonkey

必需的 KB 项: SeaMonkey/Version

易利用性: No known exploits are available

补丁发布日期: 2012/3/13

漏洞发布日期: 2012/3/13

参考资料信息

CVE: CVE-2012-0451, CVE-2012-0454, CVE-2012-0455, CVE-2012-0456, CVE-2012-0457, CVE-2012-0458, CVE-2012-0459, CVE-2012-0460, CVE-2012-0461, CVE-2012-0462, CVE-2012-0463, CVE-2012-0464

BID: 52455, 52456, 52457, 52458, 52459, 52460, 52461, 52463, 52464, 52465, 52466, 52467

CWE: 20, 74, 79, 442, 629, 711, 712, 722, 725, 750, 751, 800, 801, 809, 811, 864, 900, 928, 931, 990