Oracle Linux 5 / 6:firefox (ELSA-2012-0515)

critical Nessus 插件 ID 68517
全新!插件严重性现在使用 CVSS v3

计算的插件严重性默认已更新为使用 CVSS v3。没有 CVSS v3 分数的插件将回退到 CVSS v2 来计算严重性。可以在设置下拉列表中切换严重性显示首选项。

简介

远程 Oracle Linux 主机缺少一个或多个安全更新。

描述

来自 Red Hat 安全公告 2012:0515:

更新后的 firefox 程序包修复了多种安全问题,现在可用于Red Hat Enterprise Linux 5 和 6。

Red Hat 安全响应团队已将此更新评级为具有严重安全影响。可从“参考”部分中的 CVE 链接获取针对每个漏洞的通用漏洞评分系统 (CVSS) 基本分数,其给出了详细的严重性等级。

Mozilla Firefox 是一款开源 Web 浏览器。XULRunner 提供用于 Mozilla Firefox 的 XUL Runtime 环境。

已在由 Firefox 用于防止畸形 OpenType 字体中的潜在利用的 Sanitiser for OpenType (OTS) 中发现一个缺陷。包含恶意内容的网页可导致 Firefox 崩溃,或者在某些条件下可能以运行 Firefox 的用户的权限执行任意代码。(CVE-2011-3062)

包含恶意内容的网页可导致 Firefox 崩溃,或者可能以运行 Firefox 的用户的权限执行任意代码。(CVE-2012-0467、CVE-2012-0468、CVE-2012-0469)

包含恶意可缩放矢量图形 (SVG) 图像文件的网页可导致 Firefox 崩溃,或者可能以运行 Firefox 的用户的权限执行任意代码。(CVE-2012-0470)

在 Firefox 使用其嵌入式 Cairo 库来渲染某些字体的方式中发现一个缺陷。包含恶意内容的网页可导致 Firefox 崩溃,或者在某些条件下可能以运行 Firefox 的用户的权限执行任意代码。
(CVE-2012-0472)

在 Firefox 使用 WebGL 渲染某些图像的方式中发现一个缺陷。包含恶意内容的网页可导致 Firefox 崩溃,或者在某些条件下可能以运行 Firefox 的用户的权限执行任意代码。(CVE-2012-0478)

在 Firefox 处理特定多字节字符集的方式中发现一个跨站脚本 (XSS) 缺陷。包含恶意内容的网页可造成 Firefox 以其他网站的权限运行 JavaScript 代码。(CVE-2012-0471)

在 Firefox 使用 WebGL 渲染某些图形的方式中发现一个缺陷。包含恶意内容的网页可导致 Firefox 崩溃。(CVE-2012-0473)

Firefox 中的一个缺陷允许地址栏显示与用户要访问的网站不同的网站。攻击者可利用此缺陷来隐藏恶意 URL,从而可能诱骗用户相信其正在查看受信任的站点,或者允许从攻击者的站点加载脚本,继而可能导致跨站脚本 (XSS) 攻击。(CVE-2012-0474)

在 Firefox 解码 ISO-2022-KR 和 ISO-2022-CN 字符集的方式中发现一个缺陷。包含恶意内容的网页可造成 Firefox 以其他网站的权限运行 JavaScript 代码。(CVE-2012-0477)

在 Firefox 处理 RSS 和 Atom feed 源的方式中发现一个缺陷。
通过 HTTPS 加载的无效 RSS 或 Atom 内容导致 Firefox 在位置栏中显示上述内容的地址,而不是主窗口中的内容。之前的内容会继续显示。当页面实际上是由攻击者控制的内容时,攻击者可利用此缺陷来执行钓鱼攻击,或者诱骗用户认为访问由位置栏报告的站点。(CVE-2012-0479)

有关这些缺陷的技术详细信息,请参阅 Firefox 10.0.4 ESR 的 Mozilla 安全公告。在本勘误表的“参考”部分可以找到 Mozilla 公告的链接。

Red Hat 在此感谢 Mozilla 项目报告这些问题。上游感谢 CVE-2011-3062 的原始报告者 Google 安全团队的 Mateusz Jurczyk; CVE-2012-0469 的原始报告者 OUSPG 的 Aki Helin; CVE-2012-0470 的原始报告者 OUSPG 的 Atte Kettunen; CVE-2012-0472 的原始报告者经 iDefense 的 team509 的 wushi; CVE-2012-0478 的原始报告者 Ms2ger; CVE-2012-0471 的原始报告者 Opera Software 的 Anne van Kesteren; CVE-2012-0473 的原始报告者 Matias Juntunen; CVE-2012-0474 的原始报告者 Jordi Chancel 和 Eddy Bordi 以及 Chris McGowen;CVE-2012-0477 的原始报告者 Masato Kinugawa;以及 CVE-2012-0479 的原始报告者 Jeroen van der Gun。

解决方案

更新受影响的 firefox 程序包。

另见

https://oss.oracle.com/pipermail/el-errata/2012-April/002773.html

https://oss.oracle.com/pipermail/el-errata/2012-April/002777.html

插件详情

严重性: Critical

ID: 68517

文件名: oraclelinux_ELSA-2012-0515.nasl

版本: 1.15

类型: local

代理: unix

发布时间: 2013/7/12

最近更新时间: 2021/1/14

依存关系: ssh_get_info.nasl

风险信息

VPR

风险因素: High

分数: 8.8

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 8.7

矢量: AV:N/AC:L/Au:N/C:C/I:C/A:C

时间矢量: E:H/RL:OF/RC:C

漏洞信息

CPE: p-cpe:/a:oracle:linux:firefox, p-cpe:/a:oracle:linux:xulrunner, p-cpe:/a:oracle:linux:xulrunner-devel, cpe:/o:oracle:linux:5, cpe:/o:oracle:linux:6

必需的 KB 项: Host/local_checks_enabled, Host/OracleLinux, Host/RedHat/release, Host/RedHat/rpm-list

可利用: true

易利用性: Exploits are available

补丁发布日期: 2012/4/25

漏洞发布日期: 2012/3/30

参考资料信息

CVE: CVE-2011-3062, CVE-2012-0467, CVE-2012-0468, CVE-2012-0469, CVE-2012-0470, CVE-2012-0471, CVE-2012-0472, CVE-2012-0473, CVE-2012-0474, CVE-2012-0477, CVE-2012-0478, CVE-2012-0479

BID: 53218, 53219, 53220, 53221, 53222, 53223, 53224, 53225, 53227, 53228, 53229, 53231

RHSA: 2012:0515