Scientific Linux 安全更新：SL4.x i386/x86_64 中的 firefox

critical Nessus 插件 ID 60807

语言：

简介

远程 Scientific Linux 主机缺少安全更新。

描述

在对畸形 Web 内容的处理中发现多个缺陷。包含恶意内容的网页可导致 Firefox 崩溃，或者可能以运行 Firefox 的用户的权限执行任意代码。（CVE-2010-1121、CVE-2010-1200、CVE-2010-1202、CVE-2010-1203）

在浏览器插件的交互方式中发现一个缺陷。某个插件可能引用其他插件中释放的内存，从而导致以运行 Firefox 的用户的权限执行任意代码。(CVE-2010-1198)

在对畸形 Web 内容的处理中发现多个整数溢出缺陷。包含恶意内容的网页可导致 Firefox 崩溃，或者可能以运行 Firefox 的用户的权限执行任意代码。（CVE-2010-1196、CVE-2010-1199）

在 Firefox 处理焦点变更的方式中发现一个焦点窃取缺陷。恶意网站可利用此漏洞窃取用户的敏感数据，如用户名和密码。(CVE-2010-1125)

在 Firefox 处理“Content-Disposition: attachment”HTTP 标头（当同时存在“Content-Type: multipart”标头时）的方式中发现一个缺陷。允许任意上传操作并依赖“Content-Disposition: attachment” HTTP 标头防止以内嵌方式显示内容的网站可能会被攻击者用于向用户提供恶意内容。(CVE-2010-1197)

在 Firefox Math.random() 函数中发现一个缺陷。此函数可用于识别浏览会话并在不同的网站上跟踪用户。(CVE-2008-5913)

在加载安全检查的 Firefox XML 文档中发现一个缺陷。
在加载 XML 文档时未调用某些安全检查程序。此问题可能随后被攻击者用于加载某些违反浏览器或其附加组件的安全策略的资源。请注意，无法仅通过加载 XML 文档来利用此问题。(CVE-2010-0182)

此勘误表将 Firefox 从 3.0.19 版升级到 3.6.4 版，并且包含多个缺陷补丁和增强功能。
由于篇幅所限，将不在此公告中描述这些变更。

重要：Firefox 3.6.4 不完全向后兼容 3.0.19 中适用的所有 Mozilla 附加组件和 Firefox 插件。Firefox 3.6 会在首次启动时检查兼容性，并且可能会禁用所述附加组件和插件（具体取决于个人的配置和已安装的附加组件和插件），或尝试检查并升级更新。可能需要手动更新附加组件和插件。

安装更新后，必须重新启动 Firefox 才能使更改生效。