检测

SuSE 11.3 安全更新:Mozilla Firefox(SAT 修补程序编号 10064)

medium Nessus 插件 ID 80023

语言:

简介

远程 SuSE 11 主机缺少一个或多个安全更新。

描述

Mozilla Firefox 已更新到 31.3ESR 版本,修复了缺陷和安全问题。

- Mozilla 开发人员和社区已发现并修复 Firefox 和其他基于 Mozilla 的产品中使用的浏览器引擎的多个内存安全缺陷。这些缺陷中的一部分在特定情况下可导致内存损坏,我们推测只要通过足够的手段,至少能利用其中部分缺陷来运行任意代码。(MFSA 2014-83 / CVE-2014-1588 / CVE-2014-1587)

- Rapid7 的安全研究人员 Joe Vennix 报告,如果将 JavaScript 对象传递到模仿输入流的 XMLHttpRequest,将造成崩溃。此崩溃不可利用,只能用于拒绝服务攻击。(MFSA 2014-85 / CVE-2014-1590)

- 安全研究人员 Berend-Jan Wever 报告,解析写入使用 document.open() 创建的文档的 HTML 时,由于创建第二个根元素而造成释放后使用错误。这会导致潜在可利用的崩溃。(MFSA 2014-87 / CVE-2014-1592)

- Google Chrome 安全团队的安全研究人员 Abhishek Arya (Inferno) 在解析媒体内容时,使用地址审查器工具发现了缓冲区溢出。这会导致潜在可利用的崩溃。(MFSA 2014-88 / CVE-2014-1593)

- 乔治亚技术信息安全中心 (GTISC) 的安全研究人员 Byoungyoung Lee、Chengyu Song 和 Taesoo Kim 报告,从 BasicThebesLayer 到 BasicContainerLayer 的转换不正确,从而导致不明行为。可能通过某些编译器利用此行为,但尚未确定可明确触发此行为的机制。(MFSA 2014-89 / CVE-2014-1594)

- 安全研究人员 Kent Howard 报告 OS X 10.10 (Yosemite) 中存在 Apple 问题,其中 OS X 的 CoreGraphics 框架在 /tmp 本地目录中创建日志文件。这些日志文件中包含在 Mozilla 程序的运行期间这些程序内的所有输入的记录。OS X 10.6 到 10.9 中,CoreGraphics 拥有此项日志记录功能,但是默认已关闭。在 OS X 10.10 中,使用自定义内存分配器(如 jemalloc)的某些应用程序默认已关闭此项日志记录功能,因为框架中存在一个初始化缺陷。在 Mozilla 产品中,已通过显式关闭框架的输入事件日志记录功能,解决了此问题。在有漏洞的系统中,此问题可导致私人数据(如用户名、密码和输入的其他数据)保存到本地系统中的一个日志文件内。(MFSA 2014-90 / CVE-2014-1595)

解决方案

请应用 SAT 修补程序编号 10064。

另见

http://www.mozilla.org/security/announce/2014/mfsa2014-83.html

http://www.mozilla.org/security/announce/2014/mfsa2014-85.html

http://www.mozilla.org/security/announce/2014/mfsa2014-87.html

http://www.mozilla.org/security/announce/2014/mfsa2014-88.html

http://www.mozilla.org/security/announce/2014/mfsa2014-89.html

http://www.mozilla.org/security/announce/2014/mfsa2014-90.html

https://bugzilla.novell.com/show_bug.cgi?id=908009

http://support.novell.com/security/cve/CVE-2014-1587.html

http://support.novell.com/security/cve/CVE-2014-1588.html

http://support.novell.com/security/cve/CVE-2014-1589.html

http://support.novell.com/security/cve/CVE-2014-1590.html

http://support.novell.com/security/cve/CVE-2014-1591.html

http://support.novell.com/security/cve/CVE-2014-1592.html

http://support.novell.com/security/cve/CVE-2014-1593.html

http://support.novell.com/security/cve/CVE-2014-1594.html

http://support.novell.com/security/cve/CVE-2014-1595.html

插件详情

严重性: Medium

ID: 80023

文件名: suse_11_firefox-201412-141208.nasl

版本: 1.6

类型: local

代理: unix

发布时间: 2014/12/15

最近更新时间: 2021/1/19

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: Medium

基本分数: 6.8

矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

漏洞信息

CPE: p-cpe:/a:novell:suse_linux:11:mozillafirefox, p-cpe:/a:novell:suse_linux:11:mozillafirefox-translations, cpe:/o:novell:suse_linux:11

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

补丁发布日期: 2014/12/8

参考资料信息

CVE: CVE-2014-1587, CVE-2014-1588, CVE-2014-1589, CVE-2014-1590, CVE-2014-1591, CVE-2014-1592, CVE-2014-1593, CVE-2014-1594, CVE-2014-1595