SuSE 11.3 安全更新:MozillaFirefox(SAT 修补程序编号 8879)

critical Nessus 插件 ID 72554

简介

远程 SuSE 11 主机缺少一个或多个安全更新。

描述

此更新将 Mozilla Firefox 浏览器更新到 24.3.0ESR 安全版本。Mozilla NSS 库现在处于版本 3.15.4 上。

修复了以下安全问题:

- Firefox ESR 24.3 和 Firefox 27.0 中已修复内存安全缺陷 (CVE-2014-1477)(bnc#862345)。(MFSA 2014-01)

- 使用 XBL 范围可以窃取(克隆)本机匿名内容 (CVE-2014-1479)(bnc#862348)。(MFSA 2014-02)

- 下载“open file”对话框延迟过快,未阻止点击劫持。(CVE-2014-1480)。(MFSA 2014-03)

- Goo Create 的图像解码导致 FireFox 崩溃 (CVE-2014-1482)(bnc#862356)。(MFSA 2014-04)

- caretPositionFromPoint 和 elementFromPoint 通过定时信息泄漏关于 iframe 内容的信息 (CVE-2014-1483)(bnc#862360)。(MFSA 2014-05)

- Fennec 将配置文件路径泄漏给 logcat。(CVE-2014-1484)。
(MFSA 2014-06)

- CSP 应将 XSLT 作为脚本而不是样式来阻断。
(CVE-2014-1485)。(MFSA 2014-07)

- imgRequestProxy 释放后使用远程代码执行漏洞。(CVE-2014-1486)。(MFSA 2014-08)

- Web 工作线程错误消息导致的跨源信息泄露。(CVE-2014-1487)。(MFSA 2014-09)

- 设置和历史记录 ID 缺陷。(CVE-2014-1489)。(MFSA 2014-10)

- 当在工作线程和可传输对象中使用 asm.js 代码时,Firefox 出现可再现的崩溃。(CVE-2014-1488)。(MFSA 2014-11)

- TOCTOU,libssl 的会话票证处理中潜在的释放后使用 (CVE-2014-1490)(bnc#862300) 不允许 p-1 作为公共 DH 值 (CVE-2014-1491)(bnc#862289)。(MFSA 2014-12)

- 当在窗口上调用 getter 时此值不一致 (CVE-2014-1481)(bnc#862309)。(MFSA 2014-13)

解决方案

请应用 SAT 修补程序编号 8879。

另见

http://www.mozilla.org/security/announce/2014/mfsa2014-01.html

http://www.mozilla.org/security/announce/2014/mfsa2014-02.html

http://www.mozilla.org/security/announce/2014/mfsa2014-03.html

http://www.mozilla.org/security/announce/2014/mfsa2014-04.html

http://www.mozilla.org/security/announce/2014/mfsa2014-05.html

http://www.mozilla.org/security/announce/2014/mfsa2014-06.html

http://www.mozilla.org/security/announce/2014/mfsa2014-07.html

http://www.mozilla.org/security/announce/2014/mfsa2014-08.html

http://www.mozilla.org/security/announce/2014/mfsa2014-09.html

http://www.mozilla.org/security/announce/2014/mfsa2014-10.html

http://www.mozilla.org/security/announce/2014/mfsa2014-11.html

http://www.mozilla.org/security/announce/2014/mfsa2014-12.html

http://www.mozilla.org/security/announce/2014/mfsa2014-13.html

https://bugzilla.novell.com/show_bug.cgi?id=859055

https://bugzilla.novell.com/show_bug.cgi?id=861847

http://support.novell.com/security/cve/CVE-2014-1477.html

http://support.novell.com/security/cve/CVE-2014-1479.html

http://support.novell.com/security/cve/CVE-2014-1480.html

http://support.novell.com/security/cve/CVE-2014-1481.html

http://support.novell.com/security/cve/CVE-2014-1482.html

http://support.novell.com/security/cve/CVE-2014-1483.html

http://support.novell.com/security/cve/CVE-2014-1484.html

http://support.novell.com/security/cve/CVE-2014-1485.html

http://support.novell.com/security/cve/CVE-2014-1486.html

http://support.novell.com/security/cve/CVE-2014-1487.html

http://support.novell.com/security/cve/CVE-2014-1488.html

http://support.novell.com/security/cve/CVE-2014-1489.html

http://support.novell.com/security/cve/CVE-2014-1490.html

http://support.novell.com/security/cve/CVE-2014-1491.html

插件详情

严重性: Critical

ID: 72554

文件名: suse_11_firefox-201402-140207.nasl

版本: 1.9

类型: local

代理: unix

发布时间: 2014/2/18

最近更新时间: 2021/1/19

支持的传感器: Nessus Agent, Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus

风险信息

VPR

风险因素: High

分数: 7.4

CVSS v2

风险因素: Critical

基本分数: 10

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

漏洞信息

CPE: p-cpe:/a:novell:suse_linux:11:mozillafirefox, p-cpe:/a:novell:suse_linux:11:mozillafirefox-branding-sled, p-cpe:/a:novell:suse_linux:11:mozillafirefox-translations, p-cpe:/a:novell:suse_linux:11:libfreebl3, p-cpe:/a:novell:suse_linux:11:libfreebl3-32bit, p-cpe:/a:novell:suse_linux:11:libsoftokn3, p-cpe:/a:novell:suse_linux:11:libsoftokn3-32bit, p-cpe:/a:novell:suse_linux:11:mozilla-nss, p-cpe:/a:novell:suse_linux:11:mozilla-nss-32bit, p-cpe:/a:novell:suse_linux:11:mozilla-nss-tools, cpe:/o:novell:suse_linux:11

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

补丁发布日期: 2014/2/7

参考资料信息

CVE: CVE-2014-1477, CVE-2014-1479, CVE-2014-1480, CVE-2014-1481, CVE-2014-1482, CVE-2014-1483, CVE-2014-1484, CVE-2014-1485, CVE-2014-1486, CVE-2014-1487, CVE-2014-1488, CVE-2014-1489, CVE-2014-1490, CVE-2014-1491