Scientific Linux 安全更新：SL4.x、SL5.x i386/x86_64 中的 firefox

critical Nessus 插件 ID 60966

语言：

简介

远程 Scientific Linux 主机缺少一个或多个安全更新。

描述

在 Firefox 审查扩展中的 HTML 内容的方式中发现了一个缺陷。如果扩展使用 ParanoidFragmentSink 类加载或渲染恶意内容，可导致不能安全显示内容，从而导致 Firefox 使用运行 Firefox 的用户的权限执行任意 JavaScript。(CVE-2010-1585)

在 Firefox 处理对话框的方式中发现一个缺陷。攻击者可利用此缺陷创建一个恶意网页，而该网页显示包含不工作按钮的空白对话框。如果用户关闭该对话框窗口，可能意外为恶意网页授予升级的权限。(CVE-2011-0051)

在对畸形 Web 内容的处理中发现多个缺陷。包含恶意内容的网页可导致 Firefox 崩溃，或者可能以运行 Firefox 的用户的权限执行任意代码。（CVE-2011-0053、CVE-2011-0055、CVE-2011-0058、CVE-2011-0062）

在 Firefox 处理某些畸形 JavaScript 的方式中发现数个缺陷。包含恶意 JavaScript 的网站可造成 Firefox 以运行 Firefox 的用户的权限执行该 JavaScript。（CVE-2011-0054、CVE-2011-0056、CVE-2011-0057）

在 Firefox 处理畸形 JPEG 图像的方式中发现一个缺陷。包含恶意 JPEG 图像的网站可导造成 Firefox 崩溃，或者可能以运行 Firefox 的用户的权限执行任意代码。(CVE-2011-0061)

在 Firefox 处理用于执行 HTTP 请求的插件的方式中发现一个缺陷。如果插件执行 HTTP 请求，而服务器发送 307 重定向响应，将不通知此插件，并转发 HTTP 请求。转发的请求可以包含自定义标头，从而可能导致跨站请求伪造攻击。
(CVE-2011-0059)

在本勘误表的“参考”部分可以找到 Mozilla 公告的链接。