Scientific Linux 安全更新:SL5.x、SL6.x i386/x86_64 中的 firefox

critical Nessus 插件 ID 61304
全新!插件严重性现在使用 CVSS v3

计算的插件严重性默认已更新为使用 CVSS v3。没有 CVSS v3 分数的插件将回退到 CVSS v2 来计算严重性。可以在设置下拉列表中切换严重性显示首选项。

简介

远程 Scientific Linux 主机缺少一个或多个安全更新。

描述

Mozilla Firefox 是一款开源 Web 浏览器。XULRunner 提供用于 Mozilla Firefox 的 XUL Runtime 环境。

已在由 Firefox 用于防止畸形 OpenType 字体中的潜在利用的 Sanitiser for OpenType (OTS) 中发现一个缺陷。包含恶意内容的网页可导致 Firefox 崩溃,或者在某些条件下可能以运行 Firefox 的用户的权限执行任意代码。(CVE-2011-3062)

包含恶意内容的网页可导致 Firefox 崩溃,或者可能以运行 Firefox 的用户的权限执行任意代码。(CVE-2012-0467、CVE-2012-0468、CVE-2012-0469)

包含恶意可缩放矢量图形 (SVG) 图像文件的网页可导致 Firefox 崩溃,或者可能以运行 Firefox 的用户的权限执行任意代码。(CVE-2012-0470)

在 Firefox 使用其嵌入式 Cairo 库来渲染某些字体的方式中发现一个缺陷。包含恶意内容的网页可导致 Firefox 崩溃,或者在某些条件下可能以运行 Firefox 的用户的权限执行任意代码。
(CVE-2012-0472)

在 Firefox 使用 WebGL 渲染某些图像的方式中发现一个缺陷。包含恶意内容的网页可导致 Firefox 崩溃,或者在某些条件下可能以运行 Firefox 的用户的权限执行任意代码。(CVE-2012-0478)

在 Firefox 处理特定多字节字符集的方式中发现一个跨站脚本 (XSS) 缺陷。包含恶意内容的网页可造成 Firefox 以其他网站的权限运行 JavaScript 代码。(CVE-2012-0471)

在 Firefox 使用 WebGL 渲染某些图形的方式中发现一个缺陷。包含恶意内容的网页可导致 Firefox 崩溃。(CVE-2012-0473)

Firefox 中的一个缺陷允许地址栏显示与用户要访问的网站不同的网站。攻击者可利用此缺陷来隐藏恶意 URL,从而可能诱骗用户相信其正在查看受信任的站点,或者允许从攻击者的站点加载脚本,继而可能导致跨站脚本 (XSS) 攻击。(CVE-2012-0474)

在 Firefox 解码 ISO-2022-KR 和 ISO-2022-CN 字符集的方式中发现一个缺陷。包含恶意内容的网页可造成 Firefox 以其他网站的权限运行 JavaScript 代码。(CVE-2012-0477)

在 Firefox 处理 RSS 和 Atom feed 源的方式中发现一个缺陷。
通过 HTTPS 加载的无效 RSS 或 Atom 内容导致 Firefox 在位置栏中显示上述内容的地址,而不是主窗口中的内容。之前的内容会继续显示。当页面实际上是由攻击者控制的内容时,攻击者可利用此缺陷来执行钓鱼攻击,或者诱骗用户认为访问由位置栏报告的站点。(CVE-2012-0479)

有关这些缺陷的技术详细信息,请参阅 Firefox 10.0.4 ESR 的 Mozilla 安全公告。在本勘误表的“参考”部分可以找到 Mozilla 公告的链接。

解决方案

更新受影响的程序包。

另见

http://www.nessus.org/u?8e02ce35

插件详情

严重性: Critical

ID: 61304

文件名: sl_20120424_firefox_on_SL5_x.nasl

版本: 1.9

类型: local

代理: unix

发布时间: 2012/8/1

最近更新时间: 2021/1/14

依存关系: ssh_get_info.nasl

风险信息

VPR

风险因素: High

分数: 8.8

CVSS v2

风险因素: Critical

基本分数: 10

矢量: AV:N/AC:L/Au:N/C:C/I:C/A:C

漏洞信息

CPE: p-cpe:/a:fermilab:scientific_linux:firefox, p-cpe:/a:fermilab:scientific_linux:firefox-debuginfo, p-cpe:/a:fermilab:scientific_linux:xulrunner, p-cpe:/a:fermilab:scientific_linux:xulrunner-debuginfo, p-cpe:/a:fermilab:scientific_linux:xulrunner-devel, x-cpe:/o:fermilab:scientific_linux

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/RedHat/release, Host/RedHat/rpm-list

可利用: true

易利用性: Exploits are available

补丁发布日期: 2012/4/24

漏洞发布日期: 2012/3/30

参考资料信息

CVE: CVE-2011-3062, CVE-2012-0467, CVE-2012-0469, CVE-2012-0470, CVE-2012-0471, CVE-2012-0472, CVE-2012-0473, CVE-2012-0474, CVE-2012-0477, CVE-2012-0478, CVE-2012-0479