检测

SuSE 11.3 安全更新:Mozilla Firefox(SAT 修补程序编号 8491)

critical Nessus 插件 ID 70933

语言:

简介

远程 SuSE 11 主机缺少一个或多个安全更新。

描述

Mozilla Firefox 已更新到 17.0.10ESR 版本,修复了各种缺陷和安全问题:

- Mozilla 开发人员发现并修复了 Firefox 和其他基于 Mozilla 的产品中使用的浏览器引擎的多个内存安全缺陷。这些缺陷中的一部分在特定情况下可导致内存损坏,我们推测只要通过足够的手段,至少能利用其中部分缺陷来运行任意代码。(MFSA 2013-93)

Jesse Ruderman 和 Christoph Diehl 报告影响 Firefox ESR 17、 Firefox ESR 24 和 Firefox 24 的内存安全问题和崩溃。(CVE-2013-5590)

Carsten Book 报告基于 Mozilla 的产品所使用的 NSS 库中修复的崩溃在 Firefox 25、Firefox ESR 24.1 和 Firefox ESR 17.0.10 中已修复。
 (CVE-2013-1739)

- Google Chrome 安全团队的安全研究人员 Abhishek Arya (Inferno) 使用地址审查器工具发现由于在可扩展样式表语言转换 (XSLT) 处理过程中未初始化数据而导致的访问冲突。这会导致潜在可利用的崩溃。(MFSA 2013-95 / CVE-2013-5604)

- Google 的编译器工程师 Dan Gohman 在 JavaScript 引擎中发现了缺陷,其中某些函数的内存未正确分配,且未始终正确检查分配调用是否存在溢出,从而导致潜在缓冲区溢出。当结合其他漏洞时,这些缺陷可能会被利用。(MFSA 2013-96 / CVE-2013-5595)

- 当更新离线缓存时,乔治亚技术信息安全中心 (GTISC) 的安全研究人员 Byoungyoung Lee 利用地址审查器工具发现了状态变更事件过程中存在释放后使用。这会导致潜在可利用的崩溃。(MFSA 2013-98 / CVE-2013-5597)

- 当模糊搜索缺少的强引用时,安全研究人员 Nils 使用地址审查器工具浏览引擎,从而导致释放后使用。这可能导致潜在可利用的崩溃。(MFSA 2013-100)

- 使用 canvas、onresize 和 mozTextStyle 的 nsIPresShell::GetPresContext() 中的 ASAN 释放后使用堆内存。(CVE-2013-5599)

- 使用 Blob URL 的 nsIOService::NewChannelFromURIWithProxyFlags 中的 ASAN 释放后使用。(CVE-2013-5600)

- nsEventListenerManager::SetEventHandler 中 GC 分配中的 ASAN 释放后使用。(CVE-2013-5601)

- 安全研究人员 Nils 在模糊测试期间使用地址审查器发现了 JavaScript 引擎在使用具有直接代理的工作线程时的内存损坏问题。这会导致潜在可利用的崩溃。(MFSA 2013-101 / CVE-2013-5602)

解决方案

请应用 SAT 修补程序编号 8491。

另见

http://www.mozilla.org/security/announce/2013/mfsa2013-100.html

http://www.mozilla.org/security/announce/2013/mfsa2013-101.html

http://www.mozilla.org/security/announce/2013/mfsa2013-93.html

http://www.mozilla.org/security/announce/2013/mfsa2013-95.html

http://www.mozilla.org/security/announce/2013/mfsa2013-96.html

http://www.mozilla.org/security/announce/2013/mfsa2013-98.html

https://bugzilla.novell.com/show_bug.cgi?id=847708

http://support.novell.com/security/cve/CVE-2013-1739.html

http://support.novell.com/security/cve/CVE-2013-5590.html

http://support.novell.com/security/cve/CVE-2013-5595.html

http://support.novell.com/security/cve/CVE-2013-5597.html

http://support.novell.com/security/cve/CVE-2013-5599.html

http://support.novell.com/security/cve/CVE-2013-5600.html

http://support.novell.com/security/cve/CVE-2013-5601.html

http://support.novell.com/security/cve/CVE-2013-5602.html

http://support.novell.com/security/cve/CVE-2013-5604.html

插件详情

严重性: Critical

ID: 70933

文件名: suse_11_firefox-201310-131101.nasl

版本: 1.6

类型: local

代理: unix

发布时间: 2013/11/17

最近更新时间: 2021/1/19

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: Critical

基本分数: 10

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

漏洞信息

CPE: p-cpe:/a:novell:suse_linux:11:mozillafirefox, p-cpe:/a:novell:suse_linux:11:mozillafirefox-branding-sled, p-cpe:/a:novell:suse_linux:11:mozillafirefox-translations, cpe:/o:novell:suse_linux:11

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

补丁发布日期: 2013/11/1

参考资料信息

CVE: CVE-2013-1739, CVE-2013-5590, CVE-2013-5595, CVE-2013-5597, CVE-2013-5599, CVE-2013-5600, CVE-2013-5601, CVE-2013-5602, CVE-2013-5604