SuSE 11.3 安全更新：Mozilla Firefox（SAT 修补程序编号 10064）

medium Nessus 插件 ID 80023

语言：

简介

远程 SuSE 11 主机缺少一个或多个安全更新。

描述

Mozilla Firefox 已更新到 31.3ESR 版本，修复了缺陷和安全问题。

- Mozilla 开发人员和社区已发现并修复 Firefox 和其他基于 Mozilla 的产品中使用的浏览器引擎的多个内存安全缺陷。这些缺陷中的一部分在特定情况下可导致内存损坏，我们推测只要通过足够的手段，至少能利用其中部分缺陷来运行任意代码。(MFSA 2014-83 / CVE-2014-1588 / CVE-2014-1587)

- Rapid7 的安全研究人员 Joe Vennix 报告，如果将 JavaScript 对象传递到模仿输入流的 XMLHttpRequest，将造成崩溃。此崩溃不可利用，只能用于拒绝服务攻击。(MFSA 2014-85 / CVE-2014-1590)

- 安全研究人员 Berend-Jan Wever 报告，解析写入使用 document.open() 创建的文档的 HTML 时，由于创建第二个根元素而造成释放后使用错误。这会导致潜在可利用的崩溃。(MFSA 2014-87 / CVE-2014-1592)

- Google Chrome 安全团队的安全研究人员 Abhishek Arya (Inferno) 在解析媒体内容时，使用地址审查器工具发现了缓冲区溢出。这会导致潜在可利用的崩溃。(MFSA 2014-88 / CVE-2014-1593)

- 乔治亚技术信息安全中心 (GTISC) 的安全研究人员 Byoungyoung Lee、Chengyu Song 和 Taesoo Kim 报告，从 BasicThebesLayer 到 BasicContainerLayer 的转换不正确，从而导致不明行为。可能通过某些编译器利用此行为，但尚未确定可明确触发此行为的机制。(MFSA 2014-89 / CVE-2014-1594)

- 安全研究人员 Kent Howard 报告 OS X 10.10 (Yosemite) 中存在 Apple 问题，其中 OS X 的 CoreGraphics 框架在 /tmp 本地目录中创建日志文件。这些日志文件中包含在 Mozilla 程序的运行期间这些程序内的所有输入的记录。OS X 10.6 到 10.9 中，CoreGraphics 拥有此项日志记录功能，但是默认已关闭。在 OS X 10.10 中，使用自定义内存分配器（如 jemalloc）的某些应用程序默认已关闭此项日志记录功能，因为框架中存在一个初始化缺陷。在 Mozilla 产品中，已通过显式关闭框架的输入事件日志记录功能，解决了此问题。在有漏洞的系统中，此问题可导致私人数据（如用户名、密码和输入的其他数据）保存到本地系统中的一个日志文件内。(MFSA 2014-90 / CVE-2014-1595)