Scientific Linux 安全更新:SL5.x、SL6.x i386/x86_64 中的 firefox

critical Nessus 插件 ID 61304

简介

远程 Scientific Linux 主机缺少一个或多个安全更新。

描述

Mozilla Firefox 是一款开源 Web 浏览器。XULRunner 提供用于 Mozilla Firefox 的 XUL Runtime 环境。

已在由 Firefox 用于防止畸形 OpenType 字体中的潜在利用的 Sanitiser for OpenType (OTS) 中发现一个缺陷。包含恶意内容的网页可导致 Firefox 崩溃,或者在某些条件下可能以运行 Firefox 的用户的权限执行任意代码。(CVE-2011-3062)

包含恶意内容的网页可导致 Firefox 崩溃,或者可能以运行 Firefox 的用户的权限执行任意代码。(CVE-2012-0467、CVE-2012-0468、CVE-2012-0469)

包含恶意可缩放矢量图形 (SVG) 图像文件的网页可导致 Firefox 崩溃,或者可能以运行 Firefox 的用户的权限执行任意代码。(CVE-2012-0470)

在 Firefox 使用其嵌入式 Cairo 库来渲染某些字体的方式中发现一个缺陷。包含恶意内容的网页可导致 Firefox 崩溃,或者在某些条件下可能以运行 Firefox 的用户的权限执行任意代码。
(CVE-2012-0472)

在 Firefox 使用 WebGL 渲染某些图像的方式中发现一个缺陷。包含恶意内容的网页可导致 Firefox 崩溃,或者在某些条件下可能以运行 Firefox 的用户的权限执行任意代码。(CVE-2012-0478)

在 Firefox 处理特定多字节字符集的方式中发现一个跨站脚本 (XSS) 缺陷。包含恶意内容的网页可造成 Firefox 以其他网站的权限运行 JavaScript 代码。(CVE-2012-0471)

在 Firefox 使用 WebGL 渲染某些图形的方式中发现一个缺陷。包含恶意内容的网页可导致 Firefox 崩溃。(CVE-2012-0473)

Firefox 中的一个缺陷允许地址栏显示与用户要访问的网站不同的网站。攻击者可利用此缺陷来隐藏恶意 URL,从而可能诱骗用户相信其正在查看受信任的站点,或者允许从攻击者的站点加载脚本,继而可能导致跨站脚本 (XSS) 攻击。(CVE-2012-0474)

在 Firefox 解码 ISO-2022-KR 和 ISO-2022-CN 字符集的方式中发现一个缺陷。包含恶意内容的网页可造成 Firefox 以其他网站的权限运行 JavaScript 代码。(CVE-2012-0477)

在 Firefox 处理 RSS 和 Atom feed 源的方式中发现一个缺陷。
通过 HTTPS 加载的无效 RSS 或 Atom 内容导致 Firefox 在位置栏中显示上述内容的地址,而不是主窗口中的内容。之前的内容会继续显示。当页面实际上是由攻击者控制的内容时,攻击者可利用此缺陷来执行钓鱼攻击,或者诱骗用户认为访问由位置栏报告的站点。(CVE-2012-0479)

有关这些缺陷的技术详细信息,请参阅 Firefox 10.0.4 ESR 的 Mozilla 安全公告。在本勘误表的“参考”部分可以找到 Mozilla 公告的链接。

解决方案

更新受影响的程序包。

另见

http://www.nessus.org/u?8e02ce35

插件详情

严重性: Critical

ID: 61304

文件名: sl_20120424_firefox_on_SL5_x.nasl

版本: 1.9

类型: local

代理: unix

发布时间: 2012/8/1

最近更新时间: 2021/1/14

支持的传感器: Nessus Agent

风险信息

VPR

风险因素: High

分数: 8.8

CVSS v2

风险因素: Critical

基本分数: 10

矢量: AV:N/AC:L/Au:N/C:C/I:C/A:C

漏洞信息

CPE: p-cpe:/a:fermilab:scientific_linux:firefox, p-cpe:/a:fermilab:scientific_linux:firefox-debuginfo, p-cpe:/a:fermilab:scientific_linux:xulrunner, p-cpe:/a:fermilab:scientific_linux:xulrunner-debuginfo, p-cpe:/a:fermilab:scientific_linux:xulrunner-devel, x-cpe:/o:fermilab:scientific_linux

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/RedHat/release, Host/RedHat/rpm-list

可利用: true

易利用性: Exploits are available

补丁发布日期: 2012/4/24

漏洞发布日期: 2012/3/30

参考资料信息

CVE: CVE-2011-3062, CVE-2012-0467, CVE-2012-0469, CVE-2012-0470, CVE-2012-0471, CVE-2012-0472, CVE-2012-0473, CVE-2012-0474, CVE-2012-0477, CVE-2012-0478, CVE-2012-0479