SuSE 11.3 セキュリティの更新:MozillaFirefox(SAT パッチ番号 8879)
critical Nessus プラグイン ID 72554
Language:
概要
リモート SuSE 11 ホストに1つ以上のセキュリティ更新がありません。説明
これは、Mozilla Firefox ブラウザを 24.3.0ESR セキュリティリリースに更新します。Mozilla NSS ライブラリは、バージョン 3.15.4 になりました。以下のセキュリティ問題が修正されました:
- Firefox ESR 24.3 および Firefox 27.0 で、メモリ安全性のバグを修正(CVE-2014-1477)(bnc#862345)。(MFSA 2014-01)
- XBL スコープを使用して、匿名のネイティブコンテンツを盗み出す(複製する)ことができます(CVE-2014-1479)(bnc#862348)。(MFSA 2014-02)
- 「open file(ファイルを開く)」ダイアログのダウンロードの遅延が速すぎるため、クリックジャッキングを回避できません。(CVE-2014-1480)。(MFSA 2014-03)
- 画像をデコードすることで FireFox が Goo Create でクラッシュします(CVE-2014-1482)(bnc#862356)。(MFSA 2014-04)
- caretPositionFromPoint および elementFromPoint は、タイミング情報を通じて、iframe コンテンツに関する情報を漏洩します(CVE-2014-1483)(bnc#862360)。(MFSA 2014-05)
- Fennec はプロファイルパスを logcat に漏洩します。(CVE-2014-1484)。
(MFSA 2014-06)
- CSP は、スタイルではなくスクリプトとして XSLT をブロックする必要があります。
(CVE-2014-1485)。(MFSA 2014-07)
- imgRequestProxy の Use-After-Free リモートコードの実行の脆弱性。(CVE-2014-1486)。(MFSA 2014-08)
- Web Workers のエラーメッセージを伴う、クロスオリジン情報漏洩。(CVE-2014-1487)。(MFSA 2014-09)
- 設定および履歴 ID のバグ。(CVE-2014-1489)。(MFSA 2014-10)
- workers オブジェクトおよび転送可能なオブジェクトで asm.js コードを使用している場合、Firefox は再現性良くクラッシュします。(CVE-2014-1488)。(MFSA 2014-11)
- libssl のセッションチケット処理での潜在的な use-after-free である TOCTOU(CVE-2014-1490)(bnc#862300)パブリック DH 値として p-1 を許可しない(CVE-2014-1491)(bnc#862289)。(MFSA 2014-12)
- ウィンドウで getters を呼び出す場合、この値には整合性がありません(CVE-2014-1481)(bnc#862309)。(MFSA 2014-13)
ソリューション
SAT パッチ番号 8879 を適用してください。参考資料
http://www.mozilla.org/security/announce/2014/mfsa2014-01.html
http://www.mozilla.org/security/announce/2014/mfsa2014-02.html
http://www.mozilla.org/security/announce/2014/mfsa2014-03.html
http://www.mozilla.org/security/announce/2014/mfsa2014-04.html
http://www.mozilla.org/security/announce/2014/mfsa2014-05.html
http://www.mozilla.org/security/announce/2014/mfsa2014-06.html
http://www.mozilla.org/security/announce/2014/mfsa2014-07.html
http://www.mozilla.org/security/announce/2014/mfsa2014-08.html
http://www.mozilla.org/security/announce/2014/mfsa2014-09.html
http://www.mozilla.org/security/announce/2014/mfsa2014-10.html
http://www.mozilla.org/security/announce/2014/mfsa2014-11.html
http://www.mozilla.org/security/announce/2014/mfsa2014-12.html
http://www.mozilla.org/security/announce/2014/mfsa2014-13.html
https://bugzilla.novell.com/show_bug.cgi?id=859055
https://bugzilla.novell.com/show_bug.cgi?id=861847
http://support.novell.com/security/cve/CVE-2014-1477.html
http://support.novell.com/security/cve/CVE-2014-1479.html
http://support.novell.com/security/cve/CVE-2014-1480.html
http://support.novell.com/security/cve/CVE-2014-1481.html
http://support.novell.com/security/cve/CVE-2014-1482.html
http://support.novell.com/security/cve/CVE-2014-1483.html
http://support.novell.com/security/cve/CVE-2014-1484.html
http://support.novell.com/security/cve/CVE-2014-1485.html
http://support.novell.com/security/cve/CVE-2014-1486.html
http://support.novell.com/security/cve/CVE-2014-1487.html
http://support.novell.com/security/cve/CVE-2014-1488.html
http://support.novell.com/security/cve/CVE-2014-1489.html
プラグインの詳細
深刻度: Critical
ID: 72554
ファイル名: suse_11_firefox-201402-140207.nasl
バージョン: 1.9
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2014/2/18
更新日: 2021/1/19
サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: Critical
基本値: 10
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
脆弱性情報
CPE: p-cpe:/a:novell:suse_linux:11:mozillafirefox, p-cpe:/a:novell:suse_linux:11:mozillafirefox-branding-sled, p-cpe:/a:novell:suse_linux:11:mozillafirefox-translations, p-cpe:/a:novell:suse_linux:11:libfreebl3, p-cpe:/a:novell:suse_linux:11:libfreebl3-32bit, p-cpe:/a:novell:suse_linux:11:libsoftokn3, p-cpe:/a:novell:suse_linux:11:libsoftokn3-32bit, p-cpe:/a:novell:suse_linux:11:mozilla-nss, p-cpe:/a:novell:suse_linux:11:mozilla-nss-32bit, p-cpe:/a:novell:suse_linux:11:mozilla-nss-tools, cpe:/o:novell:suse_linux:11
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
パッチ公開日: 2014/2/7
参照情報
CVE: CVE-2014-1477, CVE-2014-1479, CVE-2014-1480, CVE-2014-1481, CVE-2014-1482, CVE-2014-1483, CVE-2014-1484, CVE-2014-1485, CVE-2014-1486, CVE-2014-1487, CVE-2014-1488, CVE-2014-1489, CVE-2014-1490, CVE-2014-1491