openSUSE 安全更新:firefox / seamonkey / thunderbird (openSUSE-SU-2013:0149-1)

critical Nessus 插件 ID 74918
全新!插件严重性现在使用 CVSS v3

计算的插件严重性默认已更新为使用 CVSS v3。没有 CVSS v3 分数的插件将回退到 CVSS v2 来计算严重性。可以在设置下拉列表中切换严重性显示首选项。

简介

远程 openSUSE 主机缺少安全更新。

描述

2013 年 1 月 8 日的 Mozilla 安全版本包含以下更新:

Mozilla Firefox 更新到了版本 18.0。Mozilla SeaMonkey 已更新到版本 2.15。Mozilla Thunderbird 已更新到 17.0.2 版。Mozilla XULRunner 已更新到版本 17.0.2。

- MFSA 2013-01/CVE-2013-0749/CVE-2013-0769/ CVE-2013-0770 多项内存安全危害

- MFSA 2013-02/CVE-2013-0760/CVE-2013-0762/CVE-2013-0766/CVE-20 13-0767 CVE-2013-0761/CVE-2013-0763/CVE-2013-0771/CVE-2012-5829 使用地址审查器时发现释放后使用和缓冲区溢出问题

- MFSA 2013-03/CVE-2013-0768 (bmo#815795) Canvas 中的缓冲区溢出

- MFSA 2013-04/CVE-2012-0759 (bmo#802026) 页面加载期间地址栏中的 URL 欺骗

- MFSA 2013-05/CVE-2013-0744 (bmo#814713) 在表中显示多个列和列组时的释放后使用

- MFSA 2013-06/CVE-2013-0751 (bmo#790454) 在 iframe 之间共享触摸事件

- MFSA 2013-07/CVE-2013-0764 (bmo#804237) 由于处理线程中的 SSL 导致的崩溃

- MFSA 2013-08/CVE-2013-0745 (bmo#794158) AutoWrapperChanger 未能在垃圾回收期间保持对象活动

- MFSA 2013-09/CVE-2013-0746 (bmo#816842) 隔离舱与 quickstub 返回值不匹配

- MFSA 2013-10/CVE-2013-0747 (bmo#733305) 插件处理程序中的事件操纵绕过同源策略

- MFSA 2013-11/CVE-2013-0748 (bmo#806031) XBL 对象中泄漏了地址空间布局

- MFSA 2013-12/CVE-2013-0750 (bmo#805121) JavaScript 字符串连接中的缓冲区溢出

- MFSA 2013-13/CVE-2013-0752 (bmo#805024) XML 绑定包含 SVG 时 XBL 中的内存损坏

- MFSA 2013-14/CVE-2013-0757 (bmo#813901) 通过更改原型绕过 Chrome 对象封装程序 (COW)

- MFSA 2013-15/CVE-2013-0758 (bmo#813906) 通过插件对象进行权限升级

- MFSA 2013-16/CVE-2013-0753 (bmo#814001) serializeToStream 中的释放后使用

- MFSA 2013-17/CVE-2013-0754 (bmo#814026) ListenerManager 中的释放后使用

- MFSA 2013-18/CVE-2013-0755 (bmo#814027) Vibrate 中的释放后使用

- MFSA 2013-19/CVE-2013-0756 (bmo#814029) JavaScript Proxy 对象中的释放后使用

Mozilla NSPR 已更新到 4.9.4,其中包含一些小的缺陷补丁和新功能。

Mozilla NSS 已更新到 3.14.1,其中包含多种新功能、安全补丁和缺陷补丁:

- MFSA 2013-20/CVE-2013-0743(bmo#825022、bnc#796628)从 TURKTRUST 中撤销错颁的中间证书

完成的加密变更:

- TLS 1.1 支持 (RFC 4346)

- DTLS 1.0 (RFC 4347) 和 DTLS-SRTP 试验性支持 (RFC 5764)

- AES-CTR、AES-CTS 和 AES-GCM 支持

- 适用于 TLS 的密钥内容导出器支持 (RFC 5705)

- 现在默认禁用使用 MD5 哈希算法的证书签名支持

- NSS 许可证已更改为 MPL 2.0。以前的版本在 MPL 1.1/GPL 2.0/LGPL 2.1 多许可证下发布。有关 MPL 2.0 的更多信息,请参阅:http://www.mozilla.org/MPL/2.0/FAQ.html有关 GPL/LGPL 兼容性的其他说明,请参阅源代码中的 security/nss/COPYING。

- 默认禁用导出和 DES 加密套件。
默认启用非 ECC AES 和 Triple DES 加密套件

有关更多信息,请参阅:http://www.mozilla.org/security/announce/。

解决方案

更新受影响的 firefox / seamonkey / thunderbird 程序包。

另见

https://www.mozilla.org/en-US/MPL/2.0/FAQ.html.

https://www.mozilla.org/en-US/security/advisories/

https://bugzilla.novell.com/show_bug.cgi?id=796628

https://lists.opensuse.org/opensuse-updates/2013-01/msg00040.html

插件详情

严重性: Critical

ID: 74918

文件名: openSUSE-2013-17.nasl

版本: 1.7

类型: local

代理: unix

发布时间: 2014/6/13

最近更新时间: 2021/1/19

依存关系: ssh_get_info.nasl

风险信息

VPR

风险因素: Critical

分数: 9.5

CVSS v2

风险因素: Critical

基本分数: 10

矢量: AV:N/AC:L/Au:N/C:C/I:C/A:C

漏洞信息

CPE: p-cpe:/a:novell:opensuse:MozillaFirefox, p-cpe:/a:novell:opensuse:MozillaFirefox-branding-upstream, p-cpe:/a:novell:opensuse:MozillaFirefox-buildsymbols, p-cpe:/a:novell:opensuse:MozillaFirefox-debuginfo, p-cpe:/a:novell:opensuse:MozillaFirefox-debugsource, p-cpe:/a:novell:opensuse:MozillaFirefox-devel, p-cpe:/a:novell:opensuse:MozillaFirefox-translations-common, p-cpe:/a:novell:opensuse:MozillaFirefox-translations-other, p-cpe:/a:novell:opensuse:MozillaThunderbird, p-cpe:/a:novell:opensuse:MozillaThunderbird-buildsymbols, p-cpe:/a:novell:opensuse:MozillaThunderbird-debuginfo, p-cpe:/a:novell:opensuse:MozillaThunderbird-debugsource, p-cpe:/a:novell:opensuse:MozillaThunderbird-devel, p-cpe:/a:novell:opensuse:MozillaThunderbird-devel-debuginfo, p-cpe:/a:novell:opensuse:MozillaThunderbird-translations-common, p-cpe:/a:novell:opensuse:MozillaThunderbird-translations-other, p-cpe:/a:novell:opensuse:enigmail, p-cpe:/a:novell:opensuse:enigmail-debuginfo, p-cpe:/a:novell:opensuse:libfreebl3, p-cpe:/a:novell:opensuse:libfreebl3-32bit, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo-32bit, p-cpe:/a:novell:opensuse:libsoftokn3, p-cpe:/a:novell:opensuse:libsoftokn3-32bit, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-js, p-cpe:/a:novell:opensuse:mozilla-js-32bit, p-cpe:/a:novell:opensuse:mozilla-js-debuginfo, p-cpe:/a:novell:opensuse:mozilla-js-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nspr, p-cpe:/a:novell:opensuse:mozilla-nspr-32bit, p-cpe:/a:novell:opensuse:mozilla-nspr-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nspr-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nspr-debugsource, p-cpe:/a:novell:opensuse:mozilla-nspr-devel, p-cpe:/a:novell:opensuse:mozilla-nss, p-cpe:/a:novell:opensuse:mozilla-nss-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs, p-cpe:/a:novell:opensuse:mozilla-nss-certs-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debugsource, p-cpe:/a:novell:opensuse:mozilla-nss-devel, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-tools, p-cpe:/a:novell:opensuse:mozilla-nss-tools-debuginfo, p-cpe:/a:novell:opensuse:seamonkey, p-cpe:/a:novell:opensuse:seamonkey-debuginfo, p-cpe:/a:novell:opensuse:seamonkey-debugsource, p-cpe:/a:novell:opensuse:seamonkey-dom-inspector, p-cpe:/a:novell:opensuse:seamonkey-irc, p-cpe:/a:novell:opensuse:seamonkey-translations-common, p-cpe:/a:novell:opensuse:seamonkey-translations-other, p-cpe:/a:novell:opensuse:seamonkey-venkman, p-cpe:/a:novell:opensuse:xulrunner, p-cpe:/a:novell:opensuse:xulrunner-32bit, p-cpe:/a:novell:opensuse:xulrunner-buildsymbols, p-cpe:/a:novell:opensuse:xulrunner-debuginfo, p-cpe:/a:novell:opensuse:xulrunner-debuginfo-32bit, p-cpe:/a:novell:opensuse:xulrunner-debugsource, p-cpe:/a:novell:opensuse:xulrunner-devel, p-cpe:/a:novell:opensuse:xulrunner-devel-debuginfo, cpe:/o:novell:opensuse:12.1, cpe:/o:novell:opensuse:12.2

必需的 KB 项: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

可利用: true

易利用性: Exploits are available

补丁发布日期: 2013/1/9

可利用的方式

Core Impact

Metasploit (Firefox 17.0.1 Flash Privileged Code Injection)

参考资料信息

CVE: CVE-2012-0759, CVE-2012-5829, CVE-2013-0744, CVE-2013-0745, CVE-2013-0746, CVE-2013-0747, CVE-2013-0748, CVE-2013-0749, CVE-2013-0750, CVE-2013-0751, CVE-2013-0752, CVE-2013-0753, CVE-2013-0754, CVE-2013-0755, CVE-2013-0756, CVE-2013-0757, CVE-2013-0758, CVE-2013-0759, CVE-2013-0760, CVE-2013-0761, CVE-2013-0762, CVE-2013-0763, CVE-2013-0764, CVE-2013-0766, CVE-2013-0767, CVE-2013-0768, CVE-2013-0769, CVE-2013-0770, CVE-2013-0771