openSUSE 安全更新:MozillaThunderbird / seamonkey (openSUSE-SU-2014:0584-1)
high Nessus 插件 ID 75333
语言:
简介
远程 openSUSE 主机缺少安全更新。描述
Mozilla Thunderbird 已更新到 24.4.0。Mozilla SeaMonkey 已更新到 2.25。- MFSA 2014-15/CVE-2014-1493/CVE-2014-1494 多项内存安全危害
- MFSA 2014-17/CVE-2014-1497 (bmo#966311) 解码 WAV 文件期间发生越界读取
- MFSA 2014-18/CVE-2014-1498 (bmo#935618) crypto.generateCRMFRequest 不验证密钥的类型
- MFSA 2014-19/CVE-2014-1499 (bmo#961512) 对 WebRTC 权限提示的欺骗攻击
- MFSA 2014-20/CVE-2014-1500 (bmo#956524) onbeforeunload 和 JavaScript 导航 DOS
- MFSA 2014-22/CVE-2014-1502 (bmo#972622) WebGL 内容从一个域注入到另一个域中进行渲染
- MFSA 2014-23/CVE-2014-1504 (bmo#911547) 数据的内容安全策略:会话恢复时不保留文档
- MFSA 2014-26/CVE-2014-1508 (bmo#963198) 通过 MathML 中渲染多边形泄露信息
- MFSA 2014-27/CVE-2014-1509 (bmo#966021) 渲染 PDF 字体期间 Cairo 中内存损坏
- MFSA 2014-28/CVE-2014-1505 (bmo#941887) 通过 feDisplacementMap 泄露 SVG 过滤器信息
- MFSA 2014-29/CVE-2014-1510/CVE-2014-1511(bmo#982906、bmo#982909)使用 WebIDL 实现的 API 升级权限
- MFSA 2014-30/CVE-2014-1512 (bmo#982957) TypeObject 中的释放后使用
- MFSA 2014-31/CVE-2014-1513 (bmo#982974) 通过中立 ArrayBuffer 对象进行越界读取/写入
- MFSA 2014-32/CVE-2014-1514 (bmo#983344) 中立后通过 TypedArrayObject 进行越界写入
解决方案
更新受影响的 MozillaThunderbird / seamonkey 程序包。另见
https://bugzilla.novell.com/show_bug.cgi?id=868603
https://lists.opensuse.org/opensuse-updates/2014-04/msg00064.html
插件详情
严重性: High
ID: 75333
文件名: openSUSE-2014-321.nasl
版本: 1.7
类型: local
代理: unix
发布时间: 2014/6/13
最近更新时间: 2021/1/19
支持的传感器: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
风险信息
VPR
风险因素: Critical
分数: 9.5
CVSS v2
风险因素: High
基本分数: 9.3
时间分数: 7.3
矢量: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
漏洞信息
CPE: p-cpe:/a:novell:opensuse:mozillathunderbird, p-cpe:/a:novell:opensuse:mozillathunderbird-buildsymbols, p-cpe:/a:novell:opensuse:mozillathunderbird-debuginfo, p-cpe:/a:novell:opensuse:mozillathunderbird-debugsource, p-cpe:/a:novell:opensuse:mozillathunderbird-devel, p-cpe:/a:novell:opensuse:mozillathunderbird-translations-common, p-cpe:/a:novell:opensuse:mozillathunderbird-translations-other, p-cpe:/a:novell:opensuse:enigmail, p-cpe:/a:novell:opensuse:enigmail-debuginfo, p-cpe:/a:novell:opensuse:seamonkey, p-cpe:/a:novell:opensuse:seamonkey-debuginfo, p-cpe:/a:novell:opensuse:seamonkey-debugsource, p-cpe:/a:novell:opensuse:seamonkey-dom-inspector, p-cpe:/a:novell:opensuse:seamonkey-irc, p-cpe:/a:novell:opensuse:seamonkey-translations-common, p-cpe:/a:novell:opensuse:seamonkey-translations-other, p-cpe:/a:novell:opensuse:seamonkey-venkman, cpe:/o:novell:opensuse:12.3, cpe:/o:novell:opensuse:13.1
必需的 KB 项: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu
可利用: true
易利用性: Exploits are available
补丁发布日期: 2014/4/22
可利用的方式
Metasploit (Firefox WebIDL Privileged Javascript Injection)
参考资料信息
CVE: CVE-2014-1493, CVE-2014-1494, CVE-2014-1497, CVE-2014-1498, CVE-2014-1499, CVE-2014-1500, CVE-2014-1502, CVE-2014-1504, CVE-2014-1505, CVE-2014-1508, CVE-2014-1509, CVE-2014-1510, CVE-2014-1511, CVE-2014-1512, CVE-2014-1513, CVE-2014-1514
BID: 66426, 66428, 66429, 66203, 66206, 66207, 66209, 66240, 66412, 66417, 66418, 66419, 66421, 66422, 66423, 66425