SuSE 11.2 / 11.3 安全更新:Mozilla Firefox(SAT 修补程序编号 8187 / 8191)

critical Nessus 插件 ID 69344

简介

远程 SuSE 11 主机缺少一个或多个安全更新。

描述

更新到 Firefox 17.0.8esr (bnc#833389),解决了:

-(bmo#855331、bmo#844088、bmo#858060、bmo#870200、bmo#874974、bmo#861530、bmo#854157、bmo#893684、bmo#878703、bmo#862185、bmo#879139、bmo#888107、bmo#880734)。(MFSA 2013-63 / CVE-2013-1701 / CVE-2013-1702)

已修复各种内存安全危害 (rv:23.0 / rv:17.0.8):

-(bmo#888314、bmo#888361)Mozilla 维护服务和 Mozilla 更新程序中的缓冲区溢出。(MFSA 2013-66 / CVE-2013-1706 / CVE-2013-1707)

- (bmo#848253) 文档 URI 错误表示和伪装。(MFSA 2013-68 / CVE-2013-1709)

(bmo#871368) CRMF 请求允许代码执行和 XSS 攻击。(MFSA 2013-69 / CVE-2013-1710)

- (bmo#859072) 通过 Mozilla 更新程序进行进一步权限升级。(MFSA 2013-71 / CVE-2013-1712)

- (bmo#887098) 在验证某些 JavaScript 组件的 URI 时,使用错误的主体。(MFSA 2013-72 / CVE-2013-1713)

- (bmo#879787) 因 Web 工作线程和 XMLHttpRequest 导致同源绕过。(MFSA 2013-73 / CVE-2013-1714)

- (bmo#406541) 本地 Java 小程序可能读取本地文件系统中的内容。(MFSA 2013-75 / CVE-2013-1717)

解决方案

请酌情应用 SAT 修补程序编号 8187 / 8191。

另见

http://www.mozilla.org/security/announce/2013/mfsa2013-63.html

http://www.mozilla.org/security/announce/2013/mfsa2013-66.html

http://www.mozilla.org/security/announce/2013/mfsa2013-68.html

http://www.mozilla.org/security/announce/2013/mfsa2013-69.html

http://www.mozilla.org/security/announce/2013/mfsa2013-71.html

http://www.mozilla.org/security/announce/2013/mfsa2013-72.html

http://www.mozilla.org/security/announce/2013/mfsa2013-73.html

http://www.mozilla.org/security/announce/2013/mfsa2013-75.html

https://bugzilla.novell.com/show_bug.cgi?id=833389

http://support.novell.com/security/cve/CVE-2013-1701.html

http://support.novell.com/security/cve/CVE-2013-1702.html

http://support.novell.com/security/cve/CVE-2013-1706.html

http://support.novell.com/security/cve/CVE-2013-1707.html

http://support.novell.com/security/cve/CVE-2013-1709.html

http://support.novell.com/security/cve/CVE-2013-1710.html

http://support.novell.com/security/cve/CVE-2013-1712.html

http://support.novell.com/security/cve/CVE-2013-1713.html

http://support.novell.com/security/cve/CVE-2013-1714.html

http://support.novell.com/security/cve/CVE-2013-1717.html

插件详情

严重性: Critical

ID: 69344

文件名: suse_11_MozillaFirefox-130810.nasl

版本: 1.11

类型: local

代理: unix

发布时间: 2013/8/14

最近更新时间: 2021/1/19

支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

风险信息

VPR

风险因素: Critical

分数: 9.4

CVSS v2

风险因素: Critical

基本分数: 10

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

漏洞信息

CPE: p-cpe:/a:novell:suse_linux:11:mozillafirefox, p-cpe:/a:novell:suse_linux:11:mozillafirefox-translations, cpe:/o:novell:suse_linux:11

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

可利用: true

易利用性: Exploits are available

补丁发布日期: 2013/8/10

可利用的方式

Metasploit (Firefox toString console.time Privileged Javascript Injection)

参考资料信息

CVE: CVE-2013-1701, CVE-2013-1702, CVE-2013-1706, CVE-2013-1707, CVE-2013-1709, CVE-2013-1710, CVE-2013-1712, CVE-2013-1713, CVE-2013-1714, CVE-2013-1717