openSUSE 安全更新:MozillaFirefox / MozillaThunderbird / chmsee / 等 (openSUSE-2012-83)

critical Nessus 插件 ID 74833

简介

远程 openSUSE 主机缺少安全更新。

描述

MozillaFirefox 中的更改:

- 更新到 Firefox 10.0 (bnc#744275)

- MFSA 2012-01/CVE-2012-0442/CVE-2012-0443 多项内存安全危害

- MFSA 2012-03/CVE-2012-0445 (bmo#701071) <iframe> 通过名称属性跨域暴露的元素

- MFSA 2012-04/CVE-2011-3659 (bmo#708198) 删除节点后仍可访问 nsDOMAttribute 中的子节点

- MFSA 2012-05/CVE-2012-0446 (bmo#705651) 通过帧脚本调用执行不受信任的对象绕过安全检查

- MFSA 2012-06/CVE-2012-0447 (bmo#710079) 编码图标图像时附加的未初始化内存可能造成信息泄露

- MFSA 2012-07/CVE-2012-0444 (bmo#719612) 解码 Ogg Vorbis 文件时存在潜在内存损坏

- MFSA 2012-08/CVE-2012-0449(bmo#701806、bmo#702466)因使用畸形的嵌入式 XSLT 样式表而发生崩溃

- 由于需要重构,KDE 集成已禁用

- 删除了过时的 ppc64 修补程序

- 由于构建不正确,禁用 arm 的 neon

MozillaThunderbird 中的更改:

- 更新到 10.0 版 (bnc#744275)

- MFSA 2012-01/CVE-2012-0442/CVE-2012-0443 多项内存安全危害

- MFSA 2012-03/CVE-2012-0445 (bmo#701071) <iframe> 通过名称属性跨域暴露的元素

- MFSA 2012-04/CVE-2011-3659 (bmo#708198) 删除节点后仍可访问 nsDOMAttribute 中的子节点

- MFSA 2012-05/CVE-2012-0446 (bmo#705651) 通过帧脚本调用执行不受信任的对象绕过安全检查

- MFSA 2012-06/CVE-2012-0447 (bmo#710079) 编码图标图像时附加的未初始化内存可能造成信息泄露

- MFSA 2012-07/CVE-2012-0444 (bmo#719612) 解码 Ogg Vorbis 文件时存在潜在内存损坏

- MFSA 2012-08/CVE-2012-0449(bmo#701806、bmo#702466)因使用畸形的嵌入式 XSLT 样式表而发生崩溃

- 将 enigmail 更新到 1.3.5

- 添加了 mozilla-disable-neon-option.patch 以便能够禁用 ARM 上的 neon

- 删除了过时的 PPC64 修补程序

seamonkey 中的更改:

- 更新到 SeaMonkey 2.7 (bnc#744275)

- MFSA 2012-01/CVE-2012-0442/CVE-2012-0443 多项内存安全危害

- MFSA 2012-03/CVE-2012-0445 (bmo#701071) <iframe> 通过名称属性跨域暴露的元素

- MFSA 2012-04/CVE-2011-3659 (bmo#708198) 删除节点后仍可访问 nsDOMAttribute 中的子节点

- MFSA 2012-05/CVE-2012-0446 (bmo#705651) 通过帧脚本调用执行不受信任的对象绕过安全检查

- MFSA 2012-06/CVE-2012-0447 (bmo#710079) 编码图标图像时附加的未初始化内存可能造成信息泄露

- MFSA 2012-07/CVE-2012-0444 (bmo#719612) 解码 Ogg Vorbis 文件时存在潜在内存损坏

- MFSA 2012-08/CVE-2012-0449(bmo#701806、bmo#702466)因使用畸形的嵌入式 XSLT 样式表而发生崩溃

XULRunner 中的更改:

- 更新到 10.0 版 (bnc#744275)

- MFSA 2012-01/CVE-2012-0442/CVE-2012-0443 多项内存安全危害

- MFSA 2012-03/CVE-2012-0445 (bmo#701071) <iframe> 通过名称属性跨域暴露的元素

- MFSA 2012-04/CVE-2011-3659 (bmo#708198) 删除节点后仍可访问 nsDOMAttribute 中的子节点

- MFSA 2012-05/CVE-2012-0446 (bmo#705651) 通过帧脚本调用执行不受信任的对象绕过安全检查

- MFSA 2012-06/CVE-2012-0447 (bmo#710079) 编码图标图像时附加的未初始化内存可能造成信息泄露

- MFSA 2012-07/CVE-2012-0444 (bmo#719612) 解码 Ogg Vorbis 文件时存在潜在内存损坏

- MFSA 2012-08/CVE-2012-0449(bmo#701806、bmo#702466)因使用畸形的嵌入式 XSLT 样式表而发生崩溃

- 删除了过时的 ppc64 修补程序

- 由于构建不正确,禁用 ARM 的 neon

xulrunner192 中的更改:

- 安全更新到 1.9.2.26 (bnc#744275)

- MFSA 2012-01/CVE-2012-0442/CVE-2012-0443 多项内存安全危害

- MFSA 2012-02/CVE-2011-3670 (bmo#504014)

- MFSA 2012-04/CVE-2011-3659 (bmo#708198) 删除节点后仍可访问 nsDOMAttribute 中的子节点

- MFSA 2012-07/CVE-2012-0444 (bmo#719612) 解码 Ogg Vorbis 文件时存在潜在内存损坏

- MFSA 2012-08/CVE-2012-0449(bmo#701806、bmo#702466)因使用畸形的嵌入式 XSLT 样式表而发生崩溃

解决方案

更新受影响的 MozillaFirefox / MozillaThunderbird / chmsee / 等程序包。

另见

https://bugzilla.novell.com/show_bug.cgi?id=744275

插件详情

严重性: Critical

ID: 74833

文件名: openSUSE-2012-83.nasl

版本: 1.5

类型: local

代理: unix

发布时间: 2014/6/13

最近更新时间: 2021/1/19

支持的传感器: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

风险信息

VPR

风险因素: Critical

分数: 9.0

CVSS v2

风险因素: Critical

基本分数: 10

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

漏洞信息

CPE: p-cpe:/a:novell:opensuse:mozillafirefox, p-cpe:/a:novell:opensuse:mozillafirefox-branding-upstream, p-cpe:/a:novell:opensuse:mozillafirefox-buildsymbols, p-cpe:/a:novell:opensuse:mozillafirefox-debuginfo, p-cpe:/a:novell:opensuse:mozillafirefox-debugsource, p-cpe:/a:novell:opensuse:mozillafirefox-devel, p-cpe:/a:novell:opensuse:mozillafirefox-translations-common, p-cpe:/a:novell:opensuse:mozillafirefox-translations-other, p-cpe:/a:novell:opensuse:mozillathunderbird, p-cpe:/a:novell:opensuse:mozillathunderbird-buildsymbols, p-cpe:/a:novell:opensuse:mozillathunderbird-debuginfo, p-cpe:/a:novell:opensuse:mozillathunderbird-debugsource, p-cpe:/a:novell:opensuse:mozillathunderbird-devel, p-cpe:/a:novell:opensuse:mozillathunderbird-translations-common, p-cpe:/a:novell:opensuse:mozillathunderbird-translations-other, p-cpe:/a:novell:opensuse:chmsee, p-cpe:/a:novell:opensuse:chmsee-debuginfo, p-cpe:/a:novell:opensuse:chmsee-debugsource, p-cpe:/a:novell:opensuse:enigmail, p-cpe:/a:novell:opensuse:enigmail-debuginfo, p-cpe:/a:novell:opensuse:mozilla-js, p-cpe:/a:novell:opensuse:mozilla-js-32bit, p-cpe:/a:novell:opensuse:mozilla-js-debuginfo, p-cpe:/a:novell:opensuse:mozilla-js-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-js192, p-cpe:/a:novell:opensuse:mozilla-js192-32bit, p-cpe:/a:novell:opensuse:mozilla-js192-debuginfo, p-cpe:/a:novell:opensuse:mozilla-js192-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-xulrunner192, p-cpe:/a:novell:opensuse:mozilla-xulrunner192-32bit, p-cpe:/a:novell:opensuse:mozilla-xulrunner192-buildsymbols, p-cpe:/a:novell:opensuse:mozilla-xulrunner192-debuginfo, p-cpe:/a:novell:opensuse:mozilla-xulrunner192-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-xulrunner192-debugsource, p-cpe:/a:novell:opensuse:mozilla-xulrunner192-devel, p-cpe:/a:novell:opensuse:mozilla-xulrunner192-devel-debuginfo, p-cpe:/a:novell:opensuse:mozilla-xulrunner192-gnome, p-cpe:/a:novell:opensuse:mozilla-xulrunner192-gnome-32bit, p-cpe:/a:novell:opensuse:mozilla-xulrunner192-gnome-debuginfo, p-cpe:/a:novell:opensuse:mozilla-xulrunner192-gnome-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-xulrunner192-translations-common, p-cpe:/a:novell:opensuse:mozilla-xulrunner192-translations-common-32bit, p-cpe:/a:novell:opensuse:mozilla-xulrunner192-translations-other, p-cpe:/a:novell:opensuse:mozilla-xulrunner192-translations-other-32bit, p-cpe:/a:novell:opensuse:seamonkey, p-cpe:/a:novell:opensuse:seamonkey-debuginfo, p-cpe:/a:novell:opensuse:seamonkey-debugsource, p-cpe:/a:novell:opensuse:seamonkey-dom-inspector, p-cpe:/a:novell:opensuse:seamonkey-irc, p-cpe:/a:novell:opensuse:seamonkey-translations-common, p-cpe:/a:novell:opensuse:seamonkey-translations-other, p-cpe:/a:novell:opensuse:seamonkey-venkman, p-cpe:/a:novell:opensuse:xulrunner, p-cpe:/a:novell:opensuse:xulrunner-32bit, p-cpe:/a:novell:opensuse:xulrunner-buildsymbols, p-cpe:/a:novell:opensuse:xulrunner-debuginfo, p-cpe:/a:novell:opensuse:xulrunner-debuginfo-32bit, p-cpe:/a:novell:opensuse:xulrunner-debugsource, p-cpe:/a:novell:opensuse:xulrunner-devel, p-cpe:/a:novell:opensuse:xulrunner-devel-debuginfo, cpe:/o:novell:opensuse:12.1

必需的 KB 项: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

可利用: true

易利用性: Exploits are available

补丁发布日期: 2012/2/8

可利用的方式

CANVAS (White_Phosphorus)

Metasploit (Firefox 8/9 AttributeChildRemoved() Use-After-Free)

参考资料信息

CVE: CVE-2011-3659, CVE-2011-3670, CVE-2012-0442, CVE-2012-0443, CVE-2012-0444, CVE-2012-0445, CVE-2012-0446, CVE-2012-0447, CVE-2012-0449