Oracle Linux 4 / 5 / 6:firefox (ELSA-2010-0966)

high Nessus 插件 ID 68156

简介

远程 Oracle Linux 主机缺少一个或多个安全更新。

描述

来自 Red Hat 安全公告 2010:0966:

更新后的 firefox 程序包修复了多个安全问题,现在可用于 Red Hat Enterprise Linux 4、5 和 6。

Red Hat 安全响应团队已将此更新评级为具有严重安全影响。可从“参考”部分中的 CVE 链接获取针对每个漏洞的通用漏洞评分系统 (CVSS) 基本分数,其给出了详细的严重性等级。

Mozilla Firefox 是一款开源 Web 浏览器。

在对畸形 Web 内容的处理中发现多个缺陷。包含恶意内容的网页可导致 Firefox 崩溃,或者可能以运行 Firefox 的用户的权限执行任意代码。(CVE-2010-3766、CVE-2010-3767、CVE-2010-3772、CVE-2010-3776、CVE-2010-3777)

在 Firefox 处理畸形 JavaScript 的方式中发现一个缺陷。具有包含恶意 JavaScript 的对象的网站可导致 Firefox 以运行 Firefox 的用户权限来执行该 JavaScript。(CVE-2010-3771)

此更新向 Firefox 添加了对 Sanitiser for OpenType (OTS) 库的支持。该库通过在使用前验证字体文件阻止对畸形 OpenType 字体的潜在利用。
(CVE-2010-3768)

在 Firefox 加载 Java LiveConnect 脚本的方式中发现一个缺陷。
恶意 Web 内容可在加载 Java LiveConnect 脚本时导致插件对象升级权限,从而使该插件以运行 Firefox 的用户权限来执行 Java 代码。(CVE-2010-3775)

已发现在使用 Firebug 附加组件时,针对 CVE-2010-0179 的修复不完整。如果在已启用 Firebug 附加组件的情况下,用户访问包含恶意 JavaScript 的网站,则可导致 Firefox 以运行 Firefox 的用户权限来执行任意 JavaScript。(CVE-2010-3773)

在 Firefox 向用户呈现位置栏的方式中发现一个缺陷。当页面实际上是由攻击者控制的内容时,恶意网站可以诱骗用户认为正在访问由地址栏报告的站点。(CVE-2010-3774)

在 Firefox x-mac-arabic、x-mac-farsi 和 x-mac-hebrew 字符编码中发现一个跨站脚本 (XSS) 缺陷。
某些字符在显示时将转换为尖括号。如果服务器端脚本过滤错过这些情况,可导致 Firefox 以另一网站的权限执行 JavaScript 代码。(CVE-2010-3770)

有关这些缺陷的技术详细信息,请参阅 Firefox 3.6.13 的 Mozilla 安全公告。在本勘误表的“参考”部分可以找到 Mozilla 公告的链接。

所有 Firefox 用户应升级这些更新后的程序包,其中包含已修正了这些问题的 Firefox 版本 3.6.13。安装更新后,必须重新启动 Firefox 才能使更改生效。

解决方案

更新受影响的 firefox 程序包。

另见

https://oss.oracle.com/pipermail/el-errata/2010-December/001763.html

https://oss.oracle.com/pipermail/el-errata/2010-December/001765.html

https://oss.oracle.com/pipermail/el-errata/2011-February/001850.html

插件详情

严重性: High

ID: 68156

文件名: oraclelinux_ELSA-2010-0966.nasl

版本: 1.11

类型: local

代理: unix

发布时间: 2013/7/12

最近更新时间: 2021/1/14

支持的传感器: Frictionless Assessment Agent, Nessus Agent

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: High

基本分数: 9.3

时间分数: 7.3

矢量: AV:N/AC:M/Au:N/C:C/I:C/A:C

时间矢量: E:POC/RL:OF/RC:C

漏洞信息

CPE: p-cpe:/a:oracle:linux:firefox, p-cpe:/a:oracle:linux:xulrunner, p-cpe:/a:oracle:linux:xulrunner-devel, cpe:/o:oracle:linux:4, cpe:/o:oracle:linux:5, cpe:/o:oracle:linux:6

必需的 KB 项: Host/local_checks_enabled, Host/OracleLinux, Host/RedHat/release, Host/RedHat/rpm-list

可利用: true

易利用性: Exploits are available

补丁发布日期: 2010/12/10

漏洞发布日期: 2010/12/10

参考资料信息

CVE: CVE-2010-3766, CVE-2010-3767, CVE-2010-3768, CVE-2010-3770, CVE-2010-3771, CVE-2010-3772, CVE-2010-3773, CVE-2010-3774, CVE-2010-3775, CVE-2010-3776, CVE-2010-3777

BID: 45314, 45322, 45324, 45326, 45352, 45354

RHSA: 2010:0966