openSUSE 安全更新:MozillaFirefox (openSUSE-2015-548)

critical Nessus 插件 ID 85437

简介

远程 openSUSE 主机缺少安全更新。

描述

- 更新到 Firefox 40.0 (bnc#940806)

- 添加了针对不需要的软件下载的防范措施

- 建议根据最近浏览历史记录中的类别显示感兴趣的站点

- 可使用 Hello 为对话添加链接,以提供与对话内容相关的上下文

- 附加组件管理器的新样式基于内容中首选项样式

- 通过非主线程内合成改进了滚动、图形和视频回放性能(仅 GNU/Linux)

- 改进了图形阻止列表机制:可指定 Firefox 版本范围,限制阻止安全补丁的设备数量:

- MFSA 2015-79/CVE-2015-4473/CVE-2015-4474 各种内存安全危害

- MFSA 2015-80/CVE-2015-4475 (bmo#1175396) 使用畸形 MP3 文件时发生越界读取

- MFSA 2015-81/CVE-2015-4477 (bmo#1179484) MediaStream 回放中的释放后使用

- MFSA 2015-82/CVE-2015-4478 (bmo#1105914) 重新定义不可配置的 JavaScript 对象属性

- MFSA 2015-83/CVE-2015-4479/CVE-2015-4480/CVE-2015-4493 libstagefright 中的溢出问题

- MFSA 2015-84/CVE-2015-4481 (bmo1171518) 通过包含硬链接的 Mozilla Maintenance Service 进行的任意文件改写(仅影响 Windows)

- MFSA 2015-85/CVE-2015-4482 (bmo#1184500) 通过更新程序和恶意 MAR 文件进行的越界写入(不会影响未随附更新程序的 openSUSE RPM 程序包)

- MFSA 2015-86/CVE-2015-4483 (bmo#1148732) 为协议提供混合了 POST 绕过的内容保护

- MFSA 2015-87/CVE-2015-4484 (bmo#1171540) 在 JavaScript 中使用共享内存时发生崩溃

- MFSA 2015-88/CVE-2015-4491 (bmo#1184009) 缩放位图图像时 gdk-pixbuf 中的堆溢出

- MFSA 2015-89/CVE-2015-4485/CVE-2015-4486(bmo#1177948、bmo#1178148)解码 WebM 视频时 Libvpx 中的缓冲区溢出

- MFSA 2015-90/CVE-2015-4487/CVE-2015-4488/CVE-2015-4489 通过代码检查发现了多种漏洞

- MFSA 2015-91/CVE-2015-4490 (bmo#1086999) Mozilla 内容安全策略允许违反 CSP 规范使用星号通配符

- MFSA 2015-92/CVE-2015-4492 (bmo#1185820) 包含共享线程的 XMLHttpRequest 中的释放后使用

- 添加了 mozilla-no-stdcxx-check.patch

- 删除了过时的修补程序

- mozilla-add-glibcxx_use_cxx11_abi.patch

- firefox-multilocale-chrome.patch

- 衍合了修补程序

- 需要该品牌程序包的 40 版本

- 由于 browser/searchplugins/ 位置不再有效,已将其删除

- 包括 Firefox 39.0.3 安全更新 (bnc#940918)

- MFSA 2015-78/CVE-2015-4495(bmo#1179262、bmo#1178058)通过 PDF 阅读器实现的同源违反和本地文件窃取

解决方案

更新受影响的 MozillaFirefox 程序包。

另见

https://bugzilla.opensuse.org/show_bug.cgi?id=940806

https://bugzilla.opensuse.org/show_bug.cgi?id=940918

插件详情

严重性: Critical

ID: 85437

文件名: openSUSE-2015-548.nasl

版本: 2.6

类型: local

代理: unix

发布时间: 2015/8/17

最近更新时间: 2022/5/25

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

风险信息

VPR

风险因素: High

分数: 8.2

CVSS v2

风险因素: Critical

基本分数: 10

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

漏洞信息

CPE: p-cpe:/a:novell:opensuse:mozillafirefox, p-cpe:/a:novell:opensuse:mozillafirefox-branding-opensuse, p-cpe:/a:novell:opensuse:mozillafirefox-branding-upstream, p-cpe:/a:novell:opensuse:mozillafirefox-buildsymbols, p-cpe:/a:novell:opensuse:mozillafirefox-debuginfo, p-cpe:/a:novell:opensuse:mozillafirefox-debugsource, p-cpe:/a:novell:opensuse:mozillafirefox-devel, p-cpe:/a:novell:opensuse:mozillafirefox-translations-common, p-cpe:/a:novell:opensuse:mozillafirefox-translations-other, cpe:/o:novell:opensuse:13.2

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

可利用: true

易利用性: Exploits are available

补丁发布日期: 2015/8/13

CISA 已知可遭利用的漏洞到期日期: 2022/6/15

可利用的方式

CANVAS (CANVAS)

参考资料信息

CVE: CVE-2015-4473, CVE-2015-4474, CVE-2015-4475, CVE-2015-4477, CVE-2015-4478, CVE-2015-4479, CVE-2015-4480, CVE-2015-4481, CVE-2015-4482, CVE-2015-4483, CVE-2015-4484, CVE-2015-4485, CVE-2015-4486, CVE-2015-4487, CVE-2015-4488, CVE-2015-4489, CVE-2015-4490, CVE-2015-4491, CVE-2015-4492, CVE-2015-4493, CVE-2015-4495