openSUSE 安全更新:MozillaFirefox / MozillaThunderbird / mozilla-nspr / 等 (openSUSE-SU-2013:1348-1)
critical Nessus 插件 ID 75122
语言:
简介
远程 openSUSE 主机缺少安全更新。描述
seamonkey 中的更改:- 更新到 SeaMonkey 2.20 (bnc#833389)
- MFSA 2013-63/CVE-2013-1701/CVE-2013-1702 多项内存安全危害
- MFSA 2013-64/CVE-2013-1704 (bmo#883313) 在 SetBody 期间更改 DOM 时存在释放后使用
- MFSA 2013-65/CVE-2013-1705 (bmo#882865) 生成 CRMF 请求时的缓冲区下溢
- MFSA 2013-67/CVE-2013-1708 (bmo#879924) 在 WAV 音频文件解码期间发生崩溃
- MFSA 2013-68/CVE-2013-1709 (bmo#838253) 文档 URI 错误表示和伪装
- MFSA 2013-69/CVE-2013-1710 (bmo#871368) CRMF 请求允许代码执行和 XSS 攻击。
- MFSA 2013-70/CVE-2013-1711 (bmo#843829) 使用 XBL 范围绕过 XrayWrappers
- MFSA 2013-72/CVE-2013-1713 (bmo#887098) 在验证某些 JavaScript 组件的 URI 时,使用错误的主体。
- MFSA 2013-73/CVE-2013-1714 (bmo#879787) 因 Web 工作线程和 XMLHttpRequest 导致同源绕过。
- MFSA 2013-75/CVE-2013-1717(bmo#406541、bmo#738397)本地 Java 小程序可能读取本地文件系统中的内容
- 需要 NSPR 4.10 和 NSS 3.15
- 删除了过时的 seamonkey-shared-nss-db.patch
seamonkey 中的更改:
- 更新到 SeaMonkey 2.20 (bnc#833389)
- MFSA 2013-63/CVE-2013-1701/CVE-2013-1702 多项内存安全危害
- MFSA 2013-64/CVE-2013-1704 (bmo#883313) 在 SetBody 期间更改 DOM 时存在释放后使用
- MFSA 2013-65/CVE-2013-1705 (bmo#882865) 生成 CRMF 请求时的缓冲区下溢
- MFSA 2013-67/CVE-2013-1708 (bmo#879924) 在 WAV 音频文件解码期间发生崩溃
- MFSA 2013-68/CVE-2013-1709 (bmo#838253) 文档 URI 错误表示和伪装
- MFSA 2013-69/CVE-2013-1710 (bmo#871368) CRMF 请求允许代码执行和 XSS 攻击。
- MFSA 2013-70/CVE-2013-1711 (bmo#843829) 使用 XBL 范围绕过 XrayWrappers
- MFSA 2013-72/CVE-2013-1713 (bmo#887098) 在验证某些 JavaScript 组件的 URI 时,使用错误的主体。
- MFSA 2013-73/CVE-2013-1714 (bmo#879787) 因 Web 工作线程和 XMLHttpRequest 导致同源绕过。
- MFSA 2013-75/CVE-2013-1717(bmo#406541、bmo#738397)本地 Java 小程序可能读取本地文件系统中的内容
- 需要 NSPR 4.10 和 NSS 3.15
- 删除了过时的 seamonkey-shared-nss-db.patch
XULRunner 中的更改:
- 更新到 17.0.8esr (bnc#833389)
- MFSA 2013-63/CVE-2013-1701 多项内存安全危害
- MFSA 2013-68/CVE-2013-1709 (bmo#838253) 文档 URI 错误表示和伪装
- MFSA 2013-69/CVE-2013-1710 (bmo#871368) CRMF 请求允许代码执行和 XSS 攻击。
- MFSA 2013-72/CVE-2013-1713 (bmo#887098) 在验证某些 JavaScript 组件的 URI 时,使用错误的主体。
- MFSA 2013-73/CVE-2013-1714 (bmo#879787) 因 Web 工作线程和 XMLHttpRequest 导致同源绕过。
- MFSA 2013-75/CVE-2013-1717(bmo#406541、bmo#738397)本地 Java 小程序可能读取本地文件系统中的内容
XULRunner 中的更改:
- 更新到 17.0.8esr (bnc#833389)
- MFSA 2013-63/CVE-2013-1701 多项内存安全危害
- MFSA 2013-68/CVE-2013-1709 (bmo#838253) 文档 URI 错误表示和伪装
- MFSA 2013-69/CVE-2013-1710 (bmo#871368) CRMF 请求允许代码执行和 XSS 攻击。
- MFSA 2013-72/CVE-2013-1713 (bmo#887098) 在验证某些 JavaScript 组件的 URI 时,使用错误的主体。
- MFSA 2013-73/CVE-2013-1714 (bmo#879787) 因 Web 工作线程和 XMLHttpRequest 导致同源绕过。
- MFSA 2013-75/CVE-2013-1717(bmo#406541、bmo#738397)本地 Java 小程序可能读取本地文件系统中的内容
MozillaThunderbird 中的更改:
- 更新到 Thunderbird 17.0.8 (bnc#833389)
- MFSA 2013-63/CVE-2013-1701 多项内存安全危害
- MFSA 2013-68/CVE-2013-1709 (bmo#838253) 文档 URI 错误表示和伪装
- MFSA 2013-69/CVE-2013-1710 (bmo#871368) CRMF 请求允许代码执行和 XSS 攻击。
- MFSA 2013-72/CVE-2013-1713 (bmo#887098) 在验证某些 JavaScript 组件的 URI 时,使用错误的主体。
- MFSA 2013-73/CVE-2013-1714 (bmo#879787) 因 Web 工作线程和 XMLHttpRequest 导致同源绕过。
- MFSA 2013-75/CVE-2013-1717(bmo#406541、bmo#738397)本地 Java 小程序可能读取本地文件系统中的内容
- 将 Enigmail 更新到 1.5.2
- 缺陷补丁版本
MozillaThunderbird 中的更改:
- 更新到 Thunderbird 17.0.8 (bnc#833389)
- MFSA 2013-63/CVE-2013-1701 多项内存安全危害
- MFSA 2013-68/CVE-2013-1709 (bmo#838253) 文档 URI 错误表示和伪装
- MFSA 2013-69/CVE-2013-1710 (bmo#871368) CRMF 请求允许代码执行和 XSS 攻击。
- MFSA 2013-72/CVE-2013-1713 (bmo#887098) 在验证某些 JavaScript 组件的 URI 时,使用错误的主体。
- MFSA 2013-73/CVE-2013-1714 (bmo#879787) 因 Web 工作线程和 XMLHttpRequest 导致同源绕过。
- MFSA 2013-75/CVE-2013-1717(bmo#406541、bmo#738397)本地 Java 小程序可能读取本地文件系统中的内容
- 将 Enigmail 更新到 1.5.2
- 缺陷补丁版本
mozilla-nss 中的更改:
- 修复 32 位要求,它实际上没有 ()
- 更新到 3.15.1
- 支持 TLS 1.2 (RFC 5246)。支持 HMAC-SHA256 加密套件(RFC 5246 和 RFC 5289),从而允许在无 MD5 和 SHA-1 的情况下使用 TLS。请注意以下限制:在 TLS 1.2 客户端认证签名中使用的哈希函数必须为 TLS 1.2 PRF 的哈希函数,在 NSS 3.15.1 中始终为 SHA-256。尚不支持 AES GCM 加密套件。
- 一些缺陷补丁和改进
- 需要 libnssckbi 而非 mozilla-nss-certs,这样 p11-kit 能与后者冲突 (fate#314991)
- 更新到 3.15
- 打包
- 删除了过时的修补程序
- nss-disable-expired-testcerts.patch
- bug-834091.patch
- 新功能
+ 对客户端套接字和服务器套接字添加了对 OCSP Stapling(RFC 6066,证书状态请求)的支持。TLS 客户端应用程序可通过调用 SSL_OptionSetDefault(SSL_ENABLE_OCSP_STAPLING, PR_TRUE) 启用此功能;
+ 添加了函数 SECITEM_ReallocItemV2。它替换函数 SECITEM_ReallocItem,现已声明该函数过时。
+ 通过 PK11_Encrypt 和 PK11_Decrypt 支持单个操作(如,不是多部分)对称密钥加密和解密。
+ 更新了 certutil,支持创建名称约束扩展。
- ssl.h SSL_PeerStapledOCSPResponse 中的新函数 - 与协商了 status_request 扩展的 TLS 客户端套接字配合使用时,返回服务器的装订 OCSP 响应。SSL_SetStapledOCSPResponses - 设置当客户端发送 status_request 扩展时让 TLS 服务器套接字返回的装订 OCSP 响应。
在 ocsp.h CERT_PostOCSPRequest 中 - 主要用于测试目的,允许发送和接收原始 OCSP 请求/响应。在 secpkcs7.h SEC_PKCS7VerifyDetachedSignatureAtTime 中 - 在除当前时间以外的其他特定时间验证 PKCS#7 签名。在 xconst.h CERT_EncodeNameConstraintsExtension 中 - 针对 CERT_DecodeNameConstraintsExtension 的匹配函数,在 NSS 3.10 中添加。在 secitem.h SECITEM_AllocArray SECITEM_DupArray SECITEM_FreeArray SECITEM_ZfreeArray 中 - 处理 SECItemArrays SECITEM_ReallocItemV2 的分配和解除分配的实用工具函数 - 取代目前已过时的 SECITEM_ReallocItem。
SECITEM_ReallocItemV2 能更好地符合调用程序的期望,因为它更新了关于分配的 item->len。有关 SECITEM_ReallocItem 问题的详细信息,请参阅缺陷 298649 和缺陷 298938。在 pk11pub.h PK11_Decrypt 中 - 将解密作为单个 PKCS#11 操作(如,不是多部分)执行。对于 AES-GCM 必需如此。PK11_Encrypt - 将解密作为单个 PKCS#11 操作(如,不是多部分)执行。对于 AES-GCM 必需如此。
- secitem.h SECItemArray 中的新类型 - 代表 SECItems 的长度可变数组。
- ssl.h SSL_ENABLE_OCSP_STAPLING 中的新宏 - 与 SSL_OptionSet 一起使用,配置 TLS 客户端套接字以请求 certificate_status 扩展(如 OCSP Stapling)(设置为 PR_TRUE 时)
- 需要注意的更改
+ SECITEM_ReallocItem 现已被弃用。请考虑在未来所有代码中使用 SECITEM_ReallocItemV2。
+ 已更新 nssckbi 模块中的根 CA 证书列表。
+ 已更新 SSL_AuthCertificate 的默认实现,添加了由 TLS 服务器装订到 OCSP 缓存的证书状态响应。
- 大量缺陷补丁
- 添加源 URL,请参阅 https://en.opensuse.org/SourceUrls
mozilla-nss 中的更改:
- 修复 32 位要求,它实际上没有 ()
- 更新到 3.15.1
- 支持 TLS 1.2 (RFC 5246)。支持 HMAC-SHA256 加密套件(RFC 5246 和 RFC 5289),从而允许在无 MD5 和 SHA-1 的情况下使用 TLS。请注意以下限制:在 TLS 1.2 客户端认证签名中使用的哈希函数必须为 TLS 1.2 PRF 的哈希函数,在 NSS 3.15.1 中始终为 SHA-256。尚不支持 AES GCM 加密套件。
- 一些缺陷补丁和改进
- 需要 libnssckbi 而非 mozilla-nss-certs,这样 p11-kit 能与后者冲突 (fate#314991)
- 更新到 3.15
- 打包
- 删除了过时的修补程序
- nss-disable-expired-testcerts.patch
- bug-834091.patch
- 新功能
+ 对客户端套接字和服务器套接字添加了对 OCSP Stapling(RFC 6066,证书状态请求)的支持。TLS 客户端应用程序可通过调用 SSL_OptionSetDefault(SSL_ENABLE_OCSP_STAPLING, PR_TRUE) 启用此功能;
+ 添加了函数 SECITEM_ReallocItemV2。它替换函数 SECITEM_ReallocItem,现已声明该函数过时。
+ 通过 PK11_Encrypt 和 PK11_Decrypt 支持单个操作(如,不是多部分)对称密钥加密和解密。
+ 更新了 certutil,支持创建名称约束扩展。
- ssl.h SSL_PeerStapledOCSPResponse 中的新函数 - 与协商了 status_request 扩展的 TLS 客户端套接字配合使用时,返回服务器的装订 OCSP 响应。SSL_SetStapledOCSPResponses - 设置当客户端发送 status_request 扩展时让 TLS 服务器套接字返回的装订 OCSP 响应。
在 ocsp.h CERT_PostOCSPRequest 中 - 主要用于测试目的,允许发送和接收原始 OCSP 请求/响应。在 secpkcs7.h SEC_PKCS7VerifyDetachedSignatureAtTime 中 - 在除当前时间以外的其他特定时间验证 PKCS#7 签名。在 xconst.h CERT_EncodeNameConstraintsExtension 中 - 针对 CERT_DecodeNameConstraintsExtension 的匹配函数,在 NSS 3.10 中添加。在 secitem.h SECITEM_AllocArray SECITEM_DupArray SECITEM_FreeArray SECITEM_ZfreeArray 中 - 处理 SECItemArrays SECITEM_ReallocItemV2 的分配和解除分配的实用工具函数 - 取代目前已过时的 SECITEM_ReallocItem。
SECITEM_ReallocItemV2 能更好地符合调用程序的期望,因为它更新了关于分配的 item->len。有关 SECITEM_ReallocItem 问题的详细信息,请参阅缺陷 298649 和缺陷 298938。在 pk11pub.h PK11_Decrypt 中 - 将解密作为单个 PKCS#11 操作(如,不是多部分)执行。对于 AES-GCM 必需如此。PK11_Encrypt - 将解密作为单个 PKCS#11 操作(如,不是多部分)执行。对于 AES-GCM 必需如此。
- secitem.h SECItemArray 中的新类型 - 代表 SECItems 的长度可变数组。
- ssl.h SSL_ENABLE_OCSP_STAPLING 中的新宏 - 与 SSL_OptionSet 一起使用,配置 TLS 客户端套接字以请求 certificate_status 扩展(如 OCSP Stapling)(设置为 PR_TRUE 时)
- 需要注意的更改
+ SECITEM_ReallocItem 现已被弃用。请考虑在未来所有代码中使用 SECITEM_ReallocItemV2。
+ 已更新 nssckbi 模块中的根 CA 证书列表。
+ 已更新 SSL_AuthCertificate 的默认实现,添加了由 TLS 服务器装订到 OCSP 缓存的证书状态响应。
- 大量缺陷补丁
- 添加源 URL,请参阅 https://en.opensuse.org/SourceUrls
mozilla-nspr 中的更改:
- 更新到版本 4.10
- bmo#844513:向 PLArena 中添加 AddressSanitizer (ASan) 内存检查注释。
- bmo#849089:进行了简单更改,使 NSPR 的 configure.in 能用于当前版本的 autoconf。
- bmo#856196:修复 NSPR 4.10 中的编译器警告和清除代码。
- bmo#859066:修复了 nsprpub/pr/src/misc/prnetdb.c 中的警告。
- bmo#859830:弃用 ANDROID_VERSION,倾向于使用 android/api-level.h。
- bmo#861434:使 PR_SetThreadPriority() 更改相对于主进程的优先级,而不是使用 Linux 上的绝对值。
- bmo#871064L:_PR_InitThreads() 不应调用 PR_SetThreadPriority。
mozilla-nspr 中的更改:
- 更新到版本 4.10
- bmo#844513:向 PLArena 中添加 AddressSanitizer (ASan) 内存检查注释。
- bmo#849089:进行了简单更改,使 NSPR 的 configure.in 能用于当前版本的 autoconf。
- bmo#856196:修复 NSPR 4.10 中的编译器警告和清除代码。
- bmo#859066:修复了 nsprpub/pr/src/misc/prnetdb.c 中的警告。
- bmo#859830:弃用 ANDROID_VERSION,倾向于使用 android/api-level.h。
- bmo#861434:使 PR_SetThreadPriority() 更改相对于主进程的优先级,而不是使用 Linux 上的绝对值。
- bmo#871064L:_PR_InitThreads() 不应调用 PR_SetThreadPriority。
MozillaFirefox 中的更改:
- 更新到 Firefox 23.0 (bnc#833389)
- MFSA 2013-63/CVE-2013-1701/CVE-2013-1702 多项内存安全危害
- MFSA 2013-64/CVE-2013-1704 (bmo#883313) 在 SetBody 期间更改 DOM 时存在释放后使用
- MFSA 2013-65/CVE-2013-1705 (bmo#882865) 生成 CRMF 请求时的缓冲区下溢
- MFSA 2013-67/CVE-2013-1708 (bmo#879924) 在 WAV 音频文件解码期间发生崩溃
- MFSA 2013-68/CVE-2013-1709 (bmo#838253) 文档 URI 错误表示和伪装
- MFSA 2013-69/CVE-2013-1710 (bmo#871368) CRMF 请求允许代码执行和 XSS 攻击。
- MFSA 2013-70/CVE-2013-1711 (bmo#843829) 使用 XBL 范围绕过 XrayWrappers
- MFSA 2013-72/CVE-2013-1713 (bmo#887098) 在验证某些 JavaScript 组件的 URI 时,使用错误的主体。
- MFSA 2013-73/CVE-2013-1714 (bmo#879787) 因 Web 工作线程和 XMLHttpRequest 导致同源绕过。
- MFSA 2013-75/CVE-2013-1717(bmo#406541、bmo#738397)本地 Java 小程序可能读取本地文件系统中的内容
- 需要 NSPR 4.10 和 NSS 3.15
- 修复 ARM 中的版本(/-g/ 匹配 /-grecord-switches/)
MozillaFirefox 中的更改:
- 更新到 Firefox 23.0 (bnc#833389)
- MFSA 2013-63/CVE-2013-1701/CVE-2013-1702 多项内存安全危害
- MFSA 2013-64/CVE-2013-1704 (bmo#883313) 在 SetBody 期间更改 DOM 时存在释放后使用
- MFSA 2013-65/CVE-2013-1705 (bmo#882865) 生成 CRMF 请求时的缓冲区下溢
- MFSA 2013-67/CVE-2013-1708 (bmo#879924) 在 WAV 音频文件解码期间发生崩溃
- MFSA 2013-68/CVE-2013-1709 (bmo#838253) 文档 URI 错误表示和伪装
- MFSA 2013-69/CVE-2013-1710 (bmo#871368) CRMF 请求允许代码执行和 XSS 攻击。
- MFSA 2013-70/CVE-2013-1711 (bmo#843829) 使用 XBL 范围绕过 XrayWrappers
- MFSA 2013-72/CVE-2013-1713 (bmo#887098) 在验证某些 JavaScript 组件的 URI 时,使用错误的主体。
- MFSA 2013-73/CVE-2013-1714 (bmo#879787) 因 Web 工作线程和 XMLHttpRequest 导致同源绕过。
- MFSA 2013-75/CVE-2013-1717(bmo#406541、bmo#738397)本地 Java 小程序可能读取本地文件系统中的内容
- 需要 NSPR 4.10 和 NSS 3.15
- 修复 ARM 中的版本(/-g/ 匹配 /-grecord-switches/)
解决方案
更新受影响的 MozillaFirefox / MozillaThunderbird / mozilla-nspr / 等程序包。另见
https://bugzilla.novell.com/show_bug.cgi?id=833389
https://en.opensuse.org/SourceUrls
https://lists.opensuse.org/opensuse-updates/2013-08/msg00036.html
插件详情
严重性: Critical
ID: 75122
文件名: openSUSE-2013-652.nasl
版本: 1.6
类型: local
代理: unix
发布时间: 2014/6/13
最近更新时间: 2021/1/19
支持的传感器: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
风险信息
VPR
风险因素: Critical
分数: 9.4
CVSS v2
风险因素: Critical
基本分数: 10
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
漏洞信息
CPE: p-cpe:/a:novell:opensuse:mozillafirefox, p-cpe:/a:novell:opensuse:mozillafirefox-branding-upstream, p-cpe:/a:novell:opensuse:mozillafirefox-buildsymbols, p-cpe:/a:novell:opensuse:mozillafirefox-debuginfo, p-cpe:/a:novell:opensuse:mozillafirefox-debugsource, p-cpe:/a:novell:opensuse:mozillafirefox-devel, p-cpe:/a:novell:opensuse:mozillafirefox-translations-common, p-cpe:/a:novell:opensuse:mozillafirefox-translations-other, p-cpe:/a:novell:opensuse:mozillathunderbird, p-cpe:/a:novell:opensuse:mozillathunderbird-buildsymbols, p-cpe:/a:novell:opensuse:mozillathunderbird-debuginfo, p-cpe:/a:novell:opensuse:mozillathunderbird-debugsource, p-cpe:/a:novell:opensuse:mozillathunderbird-devel, p-cpe:/a:novell:opensuse:mozillathunderbird-devel-debuginfo, p-cpe:/a:novell:opensuse:mozillathunderbird-translations-common, p-cpe:/a:novell:opensuse:mozillathunderbird-translations-other, p-cpe:/a:novell:opensuse:enigmail, p-cpe:/a:novell:opensuse:enigmail-debuginfo, p-cpe:/a:novell:opensuse:libfreebl3, p-cpe:/a:novell:opensuse:libfreebl3-32bit, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo-32bit, p-cpe:/a:novell:opensuse:libsoftokn3, p-cpe:/a:novell:opensuse:libsoftokn3-32bit, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-js, p-cpe:/a:novell:opensuse:mozilla-js-32bit, p-cpe:/a:novell:opensuse:mozilla-js-debuginfo, p-cpe:/a:novell:opensuse:mozilla-js-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nspr, p-cpe:/a:novell:opensuse:mozilla-nspr-32bit, p-cpe:/a:novell:opensuse:mozilla-nspr-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nspr-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nspr-debugsource, p-cpe:/a:novell:opensuse:mozilla-nspr-devel, p-cpe:/a:novell:opensuse:mozilla-nss, p-cpe:/a:novell:opensuse:mozilla-nss-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs, p-cpe:/a:novell:opensuse:mozilla-nss-certs-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debugsource, p-cpe:/a:novell:opensuse:mozilla-nss-devel, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-tools, p-cpe:/a:novell:opensuse:mozilla-nss-tools-debuginfo, p-cpe:/a:novell:opensuse:seamonkey, p-cpe:/a:novell:opensuse:seamonkey-debuginfo, p-cpe:/a:novell:opensuse:seamonkey-debugsource, p-cpe:/a:novell:opensuse:seamonkey-dom-inspector, p-cpe:/a:novell:opensuse:seamonkey-irc, p-cpe:/a:novell:opensuse:seamonkey-translations-common, p-cpe:/a:novell:opensuse:seamonkey-translations-other, p-cpe:/a:novell:opensuse:seamonkey-venkman, p-cpe:/a:novell:opensuse:xulrunner, p-cpe:/a:novell:opensuse:xulrunner-32bit, p-cpe:/a:novell:opensuse:xulrunner-buildsymbols, p-cpe:/a:novell:opensuse:xulrunner-debuginfo, p-cpe:/a:novell:opensuse:xulrunner-debuginfo-32bit, p-cpe:/a:novell:opensuse:xulrunner-debugsource, p-cpe:/a:novell:opensuse:xulrunner-devel, p-cpe:/a:novell:opensuse:xulrunner-devel-debuginfo, cpe:/o:novell:opensuse:12.2, cpe:/o:novell:opensuse:12.3
必需的 KB 项: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu
可利用: true
易利用性: Exploits are available
补丁发布日期: 2013/8/8
可利用的方式
Metasploit (Firefox toString console.time Privileged Javascript Injection)
参考资料信息
CVE: CVE-2013-1701, CVE-2013-1702, CVE-2013-1704, CVE-2013-1705, CVE-2013-1708, CVE-2013-1709, CVE-2013-1710, CVE-2013-1711, CVE-2013-1713, CVE-2013-1714, CVE-2013-1717