openSUSE 安全更新:MozillaFirefox / MozillaThunderbird / mozilla-nspr / 等 (openSUSE-SU-2013:1348-1)

critical Nessus 插件 ID 75122

简介

远程 openSUSE 主机缺少安全更新。

描述

seamonkey 中的更改:

- 更新到 SeaMonkey 2.20 (bnc#833389)

- MFSA 2013-63/CVE-2013-1701/CVE-2013-1702 多项内存安全危害

- MFSA 2013-64/CVE-2013-1704 (bmo#883313) 在 SetBody 期间更改 DOM 时存在释放后使用

- MFSA 2013-65/CVE-2013-1705 (bmo#882865) 生成 CRMF 请求时的缓冲区下溢

- MFSA 2013-67/CVE-2013-1708 (bmo#879924) 在 WAV 音频文件解码期间发生崩溃

- MFSA 2013-68/CVE-2013-1709 (bmo#838253) 文档 URI 错误表示和伪装

- MFSA 2013-69/CVE-2013-1710 (bmo#871368) CRMF 请求允许代码执行和 XSS 攻击。

- MFSA 2013-70/CVE-2013-1711 (bmo#843829) 使用 XBL 范围绕过 XrayWrappers

- MFSA 2013-72/CVE-2013-1713 (bmo#887098) 在验证某些 JavaScript 组件的 URI 时,使用错误的主体。

- MFSA 2013-73/CVE-2013-1714 (bmo#879787) 因 Web 工作线程和 XMLHttpRequest 导致同源绕过。

- MFSA 2013-75/CVE-2013-1717(bmo#406541、bmo#738397)本地 Java 小程序可能读取本地文件系统中的内容

- 需要 NSPR 4.10 和 NSS 3.15

- 删除了过时的 seamonkey-shared-nss-db.patch

seamonkey 中的更改:

- 更新到 SeaMonkey 2.20 (bnc#833389)

- MFSA 2013-63/CVE-2013-1701/CVE-2013-1702 多项内存安全危害

- MFSA 2013-64/CVE-2013-1704 (bmo#883313) 在 SetBody 期间更改 DOM 时存在释放后使用

- MFSA 2013-65/CVE-2013-1705 (bmo#882865) 生成 CRMF 请求时的缓冲区下溢

- MFSA 2013-67/CVE-2013-1708 (bmo#879924) 在 WAV 音频文件解码期间发生崩溃

- MFSA 2013-68/CVE-2013-1709 (bmo#838253) 文档 URI 错误表示和伪装

- MFSA 2013-69/CVE-2013-1710 (bmo#871368) CRMF 请求允许代码执行和 XSS 攻击。

- MFSA 2013-70/CVE-2013-1711 (bmo#843829) 使用 XBL 范围绕过 XrayWrappers

- MFSA 2013-72/CVE-2013-1713 (bmo#887098) 在验证某些 JavaScript 组件的 URI 时,使用错误的主体。

- MFSA 2013-73/CVE-2013-1714 (bmo#879787) 因 Web 工作线程和 XMLHttpRequest 导致同源绕过。

- MFSA 2013-75/CVE-2013-1717(bmo#406541、bmo#738397)本地 Java 小程序可能读取本地文件系统中的内容

- 需要 NSPR 4.10 和 NSS 3.15

- 删除了过时的 seamonkey-shared-nss-db.patch

XULRunner 中的更改:

- 更新到 17.0.8esr (bnc#833389)

- MFSA 2013-63/CVE-2013-1701 多项内存安全危害

- MFSA 2013-68/CVE-2013-1709 (bmo#838253) 文档 URI 错误表示和伪装

- MFSA 2013-69/CVE-2013-1710 (bmo#871368) CRMF 请求允许代码执行和 XSS 攻击。

- MFSA 2013-72/CVE-2013-1713 (bmo#887098) 在验证某些 JavaScript 组件的 URI 时,使用错误的主体。

- MFSA 2013-73/CVE-2013-1714 (bmo#879787) 因 Web 工作线程和 XMLHttpRequest 导致同源绕过。

- MFSA 2013-75/CVE-2013-1717(bmo#406541、bmo#738397)本地 Java 小程序可能读取本地文件系统中的内容

XULRunner 中的更改:

- 更新到 17.0.8esr (bnc#833389)

- MFSA 2013-63/CVE-2013-1701 多项内存安全危害

- MFSA 2013-68/CVE-2013-1709 (bmo#838253) 文档 URI 错误表示和伪装

- MFSA 2013-69/CVE-2013-1710 (bmo#871368) CRMF 请求允许代码执行和 XSS 攻击。

- MFSA 2013-72/CVE-2013-1713 (bmo#887098) 在验证某些 JavaScript 组件的 URI 时,使用错误的主体。

- MFSA 2013-73/CVE-2013-1714 (bmo#879787) 因 Web 工作线程和 XMLHttpRequest 导致同源绕过。

- MFSA 2013-75/CVE-2013-1717(bmo#406541、bmo#738397)本地 Java 小程序可能读取本地文件系统中的内容

MozillaThunderbird 中的更改:

- 更新到 Thunderbird 17.0.8 (bnc#833389)

- MFSA 2013-63/CVE-2013-1701 多项内存安全危害

- MFSA 2013-68/CVE-2013-1709 (bmo#838253) 文档 URI 错误表示和伪装

- MFSA 2013-69/CVE-2013-1710 (bmo#871368) CRMF 请求允许代码执行和 XSS 攻击。

- MFSA 2013-72/CVE-2013-1713 (bmo#887098) 在验证某些 JavaScript 组件的 URI 时,使用错误的主体。

- MFSA 2013-73/CVE-2013-1714 (bmo#879787) 因 Web 工作线程和 XMLHttpRequest 导致同源绕过。

- MFSA 2013-75/CVE-2013-1717(bmo#406541、bmo#738397)本地 Java 小程序可能读取本地文件系统中的内容

- 将 Enigmail 更新到 1.5.2

- 缺陷补丁版本

MozillaThunderbird 中的更改:

- 更新到 Thunderbird 17.0.8 (bnc#833389)

- MFSA 2013-63/CVE-2013-1701 多项内存安全危害

- MFSA 2013-68/CVE-2013-1709 (bmo#838253) 文档 URI 错误表示和伪装

- MFSA 2013-69/CVE-2013-1710 (bmo#871368) CRMF 请求允许代码执行和 XSS 攻击。

- MFSA 2013-72/CVE-2013-1713 (bmo#887098) 在验证某些 JavaScript 组件的 URI 时,使用错误的主体。

- MFSA 2013-73/CVE-2013-1714 (bmo#879787) 因 Web 工作线程和 XMLHttpRequest 导致同源绕过。

- MFSA 2013-75/CVE-2013-1717(bmo#406541、bmo#738397)本地 Java 小程序可能读取本地文件系统中的内容

- 将 Enigmail 更新到 1.5.2

- 缺陷补丁版本

mozilla-nss 中的更改:

- 修复 32 位要求,它实际上没有 ()

- 更新到 3.15.1

- 支持 TLS 1.2 (RFC 5246)。支持 HMAC-SHA256 加密套件(RFC 5246 和 RFC 5289),从而允许在无 MD5 和 SHA-1 的情况下使用 TLS。请注意以下限制:在 TLS 1.2 客户端认证签名中使用的哈希函数必须为 TLS 1.2 PRF 的哈希函数,在 NSS 3.15.1 中始终为 SHA-256。尚不支持 AES GCM 加密套件。

- 一些缺陷补丁和改进

- 需要 libnssckbi 而非 mozilla-nss-certs,这样 p11-kit 能与后者冲突 (fate#314991)

- 更新到 3.15

- 打包

- 删除了过时的修补程序

- nss-disable-expired-testcerts.patch

- bug-834091.patch

- 新功能

+ 对客户端套接字和服务器套接字添加了对 OCSP Stapling(RFC 6066,证书状态请求)的支持。TLS 客户端应用程序可通过调用 SSL_OptionSetDefault(SSL_ENABLE_OCSP_STAPLING, PR_TRUE) 启用此功能;

+ 添加了函数 SECITEM_ReallocItemV2。它替换函数 SECITEM_ReallocItem,现已声明该函数过时。

+ 通过 PK11_Encrypt 和 PK11_Decrypt 支持单个操作(如,不是多部分)对称密钥加密和解密。

+ 更新了 certutil,支持创建名称约束扩展。

- ssl.h SSL_PeerStapledOCSPResponse 中的新函数 - 与协商了 status_request 扩展的 TLS 客户端套接字配合使用时,返回服务器的装订 OCSP 响应。SSL_SetStapledOCSPResponses - 设置当客户端发送 status_request 扩展时让 TLS 服务器套接字返回的装订 OCSP 响应。
在 ocsp.h CERT_PostOCSPRequest 中 - 主要用于测试目的,允许发送和接收原始 OCSP 请求/响应。在 secpkcs7.h SEC_PKCS7VerifyDetachedSignatureAtTime 中 - 在除当前时间以外的其他特定时间验证 PKCS#7 签名。在 xconst.h CERT_EncodeNameConstraintsExtension 中 - 针对 CERT_DecodeNameConstraintsExtension 的匹配函数,在 NSS 3.10 中添加。在 secitem.h SECITEM_AllocArray SECITEM_DupArray SECITEM_FreeArray SECITEM_ZfreeArray 中 - 处理 SECItemArrays SECITEM_ReallocItemV2 的分配和解除分配的实用工具函数 - 取代目前已过时的 SECITEM_ReallocItem。
SECITEM_ReallocItemV2 能更好地符合调用程序的期望,因为它更新了关于分配的 item->len。有关 SECITEM_ReallocItem 问题的详细信息,请参阅缺陷 298649 和缺陷 298938。在 pk11pub.h PK11_Decrypt 中 - 将解密作为单个 PKCS#11 操作(如,不是多部分)执行。对于 AES-GCM 必需如此。PK11_Encrypt - 将解密作为单个 PKCS#11 操作(如,不是多部分)执行。对于 AES-GCM 必需如此。

- secitem.h SECItemArray 中的新类型 - 代表 SECItems 的长度可变数组。

- ssl.h SSL_ENABLE_OCSP_STAPLING 中的新宏 - 与 SSL_OptionSet 一起使用,配置 TLS 客户端套接字以请求 certificate_status 扩展(如 OCSP Stapling)(设置为 PR_TRUE 时)

- 需要注意的更改

+ SECITEM_ReallocItem 现已被弃用。请考虑在未来所有代码中使用 SECITEM_ReallocItemV2。

+ 已更新 nssckbi 模块中的根 CA 证书列表。

+ 已更新 SSL_AuthCertificate 的默认实现,添加了由 TLS 服务器装订到 OCSP 缓存的证书状态响应。

- 大量缺陷补丁

- 添加源 URL,请参阅 https://en.opensuse.org/SourceUrls

mozilla-nss 中的更改:

- 修复 32 位要求,它实际上没有 ()

- 更新到 3.15.1

- 支持 TLS 1.2 (RFC 5246)。支持 HMAC-SHA256 加密套件(RFC 5246 和 RFC 5289),从而允许在无 MD5 和 SHA-1 的情况下使用 TLS。请注意以下限制:在 TLS 1.2 客户端认证签名中使用的哈希函数必须为 TLS 1.2 PRF 的哈希函数,在 NSS 3.15.1 中始终为 SHA-256。尚不支持 AES GCM 加密套件。

- 一些缺陷补丁和改进

- 需要 libnssckbi 而非 mozilla-nss-certs,这样 p11-kit 能与后者冲突 (fate#314991)

- 更新到 3.15

- 打包

- 删除了过时的修补程序

- nss-disable-expired-testcerts.patch

- bug-834091.patch

- 新功能

+ 对客户端套接字和服务器套接字添加了对 OCSP Stapling(RFC 6066,证书状态请求)的支持。TLS 客户端应用程序可通过调用 SSL_OptionSetDefault(SSL_ENABLE_OCSP_STAPLING, PR_TRUE) 启用此功能;

+ 添加了函数 SECITEM_ReallocItemV2。它替换函数 SECITEM_ReallocItem,现已声明该函数过时。

+ 通过 PK11_Encrypt 和 PK11_Decrypt 支持单个操作(如,不是多部分)对称密钥加密和解密。

+ 更新了 certutil,支持创建名称约束扩展。

- ssl.h SSL_PeerStapledOCSPResponse 中的新函数 - 与协商了 status_request 扩展的 TLS 客户端套接字配合使用时,返回服务器的装订 OCSP 响应。SSL_SetStapledOCSPResponses - 设置当客户端发送 status_request 扩展时让 TLS 服务器套接字返回的装订 OCSP 响应。
在 ocsp.h CERT_PostOCSPRequest 中 - 主要用于测试目的,允许发送和接收原始 OCSP 请求/响应。在 secpkcs7.h SEC_PKCS7VerifyDetachedSignatureAtTime 中 - 在除当前时间以外的其他特定时间验证 PKCS#7 签名。在 xconst.h CERT_EncodeNameConstraintsExtension 中 - 针对 CERT_DecodeNameConstraintsExtension 的匹配函数,在 NSS 3.10 中添加。在 secitem.h SECITEM_AllocArray SECITEM_DupArray SECITEM_FreeArray SECITEM_ZfreeArray 中 - 处理 SECItemArrays SECITEM_ReallocItemV2 的分配和解除分配的实用工具函数 - 取代目前已过时的 SECITEM_ReallocItem。
SECITEM_ReallocItemV2 能更好地符合调用程序的期望,因为它更新了关于分配的 item->len。有关 SECITEM_ReallocItem 问题的详细信息,请参阅缺陷 298649 和缺陷 298938。在 pk11pub.h PK11_Decrypt 中 - 将解密作为单个 PKCS#11 操作(如,不是多部分)执行。对于 AES-GCM 必需如此。PK11_Encrypt - 将解密作为单个 PKCS#11 操作(如,不是多部分)执行。对于 AES-GCM 必需如此。

- secitem.h SECItemArray 中的新类型 - 代表 SECItems 的长度可变数组。

- ssl.h SSL_ENABLE_OCSP_STAPLING 中的新宏 - 与 SSL_OptionSet 一起使用,配置 TLS 客户端套接字以请求 certificate_status 扩展(如 OCSP Stapling)(设置为 PR_TRUE 时)

- 需要注意的更改

+ SECITEM_ReallocItem 现已被弃用。请考虑在未来所有代码中使用 SECITEM_ReallocItemV2。

+ 已更新 nssckbi 模块中的根 CA 证书列表。

+ 已更新 SSL_AuthCertificate 的默认实现,添加了由 TLS 服务器装订到 OCSP 缓存的证书状态响应。

- 大量缺陷补丁

- 添加源 URL,请参阅 https://en.opensuse.org/SourceUrls

mozilla-nspr 中的更改:

- 更新到版本 4.10

- bmo#844513:向 PLArena 中添加 AddressSanitizer (ASan) 内存检查注释。

- bmo#849089:进行了简单更改,使 NSPR 的 configure.in 能用于当前版本的 autoconf。

- bmo#856196:修复 NSPR 4.10 中的编译器警告和清除代码。

- bmo#859066:修复了 nsprpub/pr/src/misc/prnetdb.c 中的警告。

- bmo#859830:弃用 ANDROID_VERSION,倾向于使用 android/api-level.h。

- bmo#861434:使 PR_SetThreadPriority() 更改相对于主进程的优先级,而不是使用 Linux 上的绝对值。

- bmo#871064L:_PR_InitThreads() 不应调用 PR_SetThreadPriority。

mozilla-nspr 中的更改:

- 更新到版本 4.10

- bmo#844513:向 PLArena 中添加 AddressSanitizer (ASan) 内存检查注释。

- bmo#849089:进行了简单更改,使 NSPR 的 configure.in 能用于当前版本的 autoconf。

- bmo#856196:修复 NSPR 4.10 中的编译器警告和清除代码。

- bmo#859066:修复了 nsprpub/pr/src/misc/prnetdb.c 中的警告。

- bmo#859830:弃用 ANDROID_VERSION,倾向于使用 android/api-level.h。

- bmo#861434:使 PR_SetThreadPriority() 更改相对于主进程的优先级,而不是使用 Linux 上的绝对值。

- bmo#871064L:_PR_InitThreads() 不应调用 PR_SetThreadPriority。

MozillaFirefox 中的更改:

- 更新到 Firefox 23.0 (bnc#833389)

- MFSA 2013-63/CVE-2013-1701/CVE-2013-1702 多项内存安全危害

- MFSA 2013-64/CVE-2013-1704 (bmo#883313) 在 SetBody 期间更改 DOM 时存在释放后使用

- MFSA 2013-65/CVE-2013-1705 (bmo#882865) 生成 CRMF 请求时的缓冲区下溢

- MFSA 2013-67/CVE-2013-1708 (bmo#879924) 在 WAV 音频文件解码期间发生崩溃

- MFSA 2013-68/CVE-2013-1709 (bmo#838253) 文档 URI 错误表示和伪装

- MFSA 2013-69/CVE-2013-1710 (bmo#871368) CRMF 请求允许代码执行和 XSS 攻击。

- MFSA 2013-70/CVE-2013-1711 (bmo#843829) 使用 XBL 范围绕过 XrayWrappers

- MFSA 2013-72/CVE-2013-1713 (bmo#887098) 在验证某些 JavaScript 组件的 URI 时,使用错误的主体。

- MFSA 2013-73/CVE-2013-1714 (bmo#879787) 因 Web 工作线程和 XMLHttpRequest 导致同源绕过。

- MFSA 2013-75/CVE-2013-1717(bmo#406541、bmo#738397)本地 Java 小程序可能读取本地文件系统中的内容

- 需要 NSPR 4.10 和 NSS 3.15

- 修复 ARM 中的版本(/-g/ 匹配 /-grecord-switches/)

MozillaFirefox 中的更改:

- 更新到 Firefox 23.0 (bnc#833389)

- MFSA 2013-63/CVE-2013-1701/CVE-2013-1702 多项内存安全危害

- MFSA 2013-64/CVE-2013-1704 (bmo#883313) 在 SetBody 期间更改 DOM 时存在释放后使用

- MFSA 2013-65/CVE-2013-1705 (bmo#882865) 生成 CRMF 请求时的缓冲区下溢

- MFSA 2013-67/CVE-2013-1708 (bmo#879924) 在 WAV 音频文件解码期间发生崩溃

- MFSA 2013-68/CVE-2013-1709 (bmo#838253) 文档 URI 错误表示和伪装

- MFSA 2013-69/CVE-2013-1710 (bmo#871368) CRMF 请求允许代码执行和 XSS 攻击。

- MFSA 2013-70/CVE-2013-1711 (bmo#843829) 使用 XBL 范围绕过 XrayWrappers

- MFSA 2013-72/CVE-2013-1713 (bmo#887098) 在验证某些 JavaScript 组件的 URI 时,使用错误的主体。

- MFSA 2013-73/CVE-2013-1714 (bmo#879787) 因 Web 工作线程和 XMLHttpRequest 导致同源绕过。

- MFSA 2013-75/CVE-2013-1717(bmo#406541、bmo#738397)本地 Java 小程序可能读取本地文件系统中的内容

- 需要 NSPR 4.10 和 NSS 3.15

- 修复 ARM 中的版本(/-g/ 匹配 /-grecord-switches/)

解决方案

更新受影响的 MozillaFirefox / MozillaThunderbird / mozilla-nspr / 等程序包。

另见

https://bugzilla.novell.com/show_bug.cgi?id=833389

https://en.opensuse.org/SourceUrls

https://lists.opensuse.org/opensuse-updates/2013-08/msg00036.html

插件详情

严重性: Critical

ID: 75122

文件名: openSUSE-2013-652.nasl

版本: 1.6

类型: local

代理: unix

发布时间: 2014/6/13

最近更新时间: 2021/1/19

支持的传感器: Nessus Agent

风险信息

VPR

风险因素: Critical

分数: 9

CVSS v2

风险因素: Critical

基本分数: 10

矢量: AV:N/AC:L/Au:N/C:C/I:C/A:C

漏洞信息

CPE: p-cpe:/a:novell:opensuse:MozillaFirefox, p-cpe:/a:novell:opensuse:MozillaFirefox-branding-upstream, p-cpe:/a:novell:opensuse:MozillaFirefox-buildsymbols, p-cpe:/a:novell:opensuse:MozillaFirefox-debuginfo, p-cpe:/a:novell:opensuse:MozillaFirefox-debugsource, p-cpe:/a:novell:opensuse:MozillaFirefox-devel, p-cpe:/a:novell:opensuse:MozillaFirefox-translations-common, p-cpe:/a:novell:opensuse:MozillaFirefox-translations-other, p-cpe:/a:novell:opensuse:MozillaThunderbird, p-cpe:/a:novell:opensuse:MozillaThunderbird-buildsymbols, p-cpe:/a:novell:opensuse:MozillaThunderbird-debuginfo, p-cpe:/a:novell:opensuse:MozillaThunderbird-debugsource, p-cpe:/a:novell:opensuse:MozillaThunderbird-devel, p-cpe:/a:novell:opensuse:MozillaThunderbird-devel-debuginfo, p-cpe:/a:novell:opensuse:MozillaThunderbird-translations-common, p-cpe:/a:novell:opensuse:MozillaThunderbird-translations-other, p-cpe:/a:novell:opensuse:enigmail, p-cpe:/a:novell:opensuse:enigmail-debuginfo, p-cpe:/a:novell:opensuse:libfreebl3, p-cpe:/a:novell:opensuse:libfreebl3-32bit, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo-32bit, p-cpe:/a:novell:opensuse:libsoftokn3, p-cpe:/a:novell:opensuse:libsoftokn3-32bit, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-js, p-cpe:/a:novell:opensuse:mozilla-js-32bit, p-cpe:/a:novell:opensuse:mozilla-js-debuginfo, p-cpe:/a:novell:opensuse:mozilla-js-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nspr, p-cpe:/a:novell:opensuse:mozilla-nspr-32bit, p-cpe:/a:novell:opensuse:mozilla-nspr-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nspr-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nspr-debugsource, p-cpe:/a:novell:opensuse:mozilla-nspr-devel, p-cpe:/a:novell:opensuse:mozilla-nss, p-cpe:/a:novell:opensuse:mozilla-nss-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs, p-cpe:/a:novell:opensuse:mozilla-nss-certs-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debugsource, p-cpe:/a:novell:opensuse:mozilla-nss-devel, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-tools, p-cpe:/a:novell:opensuse:mozilla-nss-tools-debuginfo, p-cpe:/a:novell:opensuse:seamonkey, p-cpe:/a:novell:opensuse:seamonkey-debuginfo, p-cpe:/a:novell:opensuse:seamonkey-debugsource, p-cpe:/a:novell:opensuse:seamonkey-dom-inspector, p-cpe:/a:novell:opensuse:seamonkey-irc, p-cpe:/a:novell:opensuse:seamonkey-translations-common, p-cpe:/a:novell:opensuse:seamonkey-translations-other, p-cpe:/a:novell:opensuse:seamonkey-venkman, p-cpe:/a:novell:opensuse:xulrunner, p-cpe:/a:novell:opensuse:xulrunner-32bit, p-cpe:/a:novell:opensuse:xulrunner-buildsymbols, p-cpe:/a:novell:opensuse:xulrunner-debuginfo, p-cpe:/a:novell:opensuse:xulrunner-debuginfo-32bit, p-cpe:/a:novell:opensuse:xulrunner-debugsource, p-cpe:/a:novell:opensuse:xulrunner-devel, p-cpe:/a:novell:opensuse:xulrunner-devel-debuginfo, cpe:/o:novell:opensuse:12.2, cpe:/o:novell:opensuse:12.3

必需的 KB 项: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

可利用: true

易利用性: Exploits are available

补丁发布日期: 2013/8/8

可利用的方式

Metasploit (Firefox toString console.time Privileged Javascript Injection)

参考资料信息

CVE: CVE-2013-1701, CVE-2013-1702, CVE-2013-1704, CVE-2013-1705, CVE-2013-1708, CVE-2013-1709, CVE-2013-1710, CVE-2013-1711, CVE-2013-1713, CVE-2013-1714, CVE-2013-1717