Scientific Linux 安全更新：SL4.x、SL5.x i386/x86_64 中的 firefox

high Nessus 插件 ID 60916

语言：

简介

远程 Scientific Linux 主机缺少一个或多个安全更新。

描述

在对畸形 Web 内容的处理中发现多个缺陷。包含恶意内容的网页可导致 Firefox 崩溃，或者可能以运行 Firefox 的用户的权限执行任意代码。（CVE-2010-3766、CVE-2010-3767、CVE-2010-3772、CVE-2010-3776、CVE-2010-3777）

在 Firefox 处理畸形 JavaScript 的方式中发现一个缺陷。具有包含恶意 JavaScript 的对象的网站可导致 Firefox 以运行 Firefox 的用户权限来执行该 JavaScript。(CVE-2010-3771)

此更新向 Firefox 添加了对 Sanitiser for OpenType (OTS) 库的支持。该库通过在使用前验证字体文件阻止对畸形 OpenType 字体的潜在利用。
(CVE-2010-3768)

在 Firefox 加载 Java LiveConnect 脚本的方式中发现一个缺陷。
恶意 Web 内容可在加载 Java LiveConnect 脚本时导致插件对象升级权限，从而使该插件以运行 Firefox 的用户权限来执行 Java 代码。(CVE-2010-3775)

已发现在使用 Firebug 附加组件时，针对 CVE-2010-0179 的修复不完整。如果在已启用 Firebug 附加组件的情况下，用户访问包含恶意 JavaScript 的网站，则可导致 Firefox 以运行 Firefox 的用户权限来执行任意 JavaScript。(CVE-2010-3773)

在 Firefox 向用户呈现位置栏的方式中发现一个缺陷。当页面实际上是由攻击者控制的内容时，恶意网站可以诱骗用户认为正在访问由地址栏报告的站点。(CVE-2010-3774)

在 Firefox x-mac-arabic、x-mac-farsi 和 x-mac-hebrew 字符编码中发现一个跨站脚本 (XSS) 缺陷。
某些字符在显示时将转换为尖括号。如果服务器端脚本过滤错过这些情况，可导致 Firefox 以另一网站的权限执行 JavaScript 代码。(CVE-2010-3770)

安装更新后，必须重新启动 Firefox 才能使更改生效。