openSUSE 安全更新:MozillaFirefox (openSUSE-2015-263)

high Nessus 插件 ID 82247

简介

远程 openSUSE 主机缺少安全更新。

描述

MozillaFirefox 已更新到 Firefox 36.0.4,修复了 Pwn2Own 期间发现的两个严重的安全问题:

- MFSA 2015-28/CVE-2015-0818 (bmo#1144988) 通过 SVG 导航进行权限升级

- MFSA 2015-29/CVE-2015-0817 (bmo#1145255) 通过不正确地去除 JavaScript 边界检查来执行代码

还修复了以下缺陷:

- 将图标复制到 /usr/share/icons 而不是将其设置为符号链接:在准备容器化的应用(如 xdg-app)和提取 AppStream 元数据时,有一些位置需要是用于系统集成的实际文件(.desktop 文件、图标、mime-type 信息)。

- 更新到 Firefox 36.0.1 缺陷补丁:

- 禁用 ANY DNS 查询类型 (bmo#1093983)

- 重新启动前 Hello 可能进入不活动状态 (bmo#1137469)

- 可能不保留打印首选项 (bmo#1136855)

- Hello 联系人选项卡可能不可见 (bmo#1137141)

- 接受包含下划线字符(“_”)的主机名 (bmo#1136616)

- WebGL 可能为 Canvas2d 使用大量内存 (bmo#1137251)

- 已还原选项 -remote (bmo#1080319)

解决方案

更新受影响的 MozillaFirefox 程序包。

另见

https://bugzilla.opensuse.org/show_bug.cgi?id=923534

插件详情

严重性: High

ID: 82247

文件名: openSUSE-2015-263.nasl

版本: 1.6

类型: local

代理: unix

发布时间: 2015/3/26

最近更新时间: 2021/1/19

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: High

基本分数: 7.5

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

漏洞信息

CPE: p-cpe:/a:novell:opensuse:mozillafirefox, p-cpe:/a:novell:opensuse:mozillafirefox-branding-upstream, p-cpe:/a:novell:opensuse:mozillafirefox-buildsymbols, p-cpe:/a:novell:opensuse:mozillafirefox-debuginfo, p-cpe:/a:novell:opensuse:mozillafirefox-debugsource, p-cpe:/a:novell:opensuse:mozillafirefox-devel, p-cpe:/a:novell:opensuse:mozillafirefox-translations-common, p-cpe:/a:novell:opensuse:mozillafirefox-translations-other, cpe:/o:novell:opensuse:13.1, cpe:/o:novell:opensuse:13.2

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

补丁发布日期: 2015/3/22

参考资料信息

CVE: CVE-2015-0817, CVE-2015-0818