SuSE 11.3 セキュリティの更新:MozillaFirefox(SAT パッチ番号 8879)

critical Nessus プラグイン ID 72554

概要

リモート SuSE 11 ホストに1つ以上のセキュリティ更新がありません。

説明

これは、Mozilla Firefox ブラウザを 24.3.0ESR セキュリティリリースに更新します。Mozilla NSS ライブラリは、バージョン 3.15.4 になりました。

以下のセキュリティ問題が修正されました:

- Firefox ESR 24.3 および Firefox 27.0 で、メモリ安全性のバグを修正(CVE-2014-1477)(bnc#862345)。(MFSA 2014-01)

- XBL スコープを使用して、匿名のネイティブコンテンツを盗み出す(複製する)ことができます(CVE-2014-1479)(bnc#862348)。(MFSA 2014-02)

- 「open file(ファイルを開く)」ダイアログのダウンロードの遅延が速すぎるため、クリックジャッキングを回避できません。(CVE-2014-1480)。(MFSA 2014-03)

- 画像をデコードすることで FireFox が Goo Create でクラッシュします(CVE-2014-1482)(bnc#862356)。(MFSA 2014-04)

- caretPositionFromPoint および elementFromPoint は、タイミング情報を通じて、iframe コンテンツに関する情報を漏洩します(CVE-2014-1483)(bnc#862360)。(MFSA 2014-05)

- Fennec はプロファイルパスを logcat に漏洩します。(CVE-2014-1484)。
(MFSA 2014-06)

- CSP は、スタイルではなくスクリプトとして XSLT をブロックする必要があります。
(CVE-2014-1485)。(MFSA 2014-07)

- imgRequestProxy の Use-After-Free リモートコードの実行の脆弱性。(CVE-2014-1486)。(MFSA 2014-08)

- Web Workers のエラーメッセージを伴う、クロスオリジン情報漏洩。(CVE-2014-1487)。(MFSA 2014-09)

- 設定および履歴 ID のバグ。(CVE-2014-1489)。(MFSA 2014-10)

- workers オブジェクトおよび転送可能なオブジェクトで asm.js コードを使用している場合、Firefox は再現性良くクラッシュします。(CVE-2014-1488)。(MFSA 2014-11)

- libssl のセッションチケット処理での潜在的な use-after-free である TOCTOU(CVE-2014-1490)(bnc#862300)パブリック DH 値として p-1 を許可しない(CVE-2014-1491)(bnc#862289)。(MFSA 2014-12)

- ウィンドウで getters を呼び出す場合、この値には整合性がありません(CVE-2014-1481)(bnc#862309)。(MFSA 2014-13)

ソリューション

SAT パッチ番号 8879 を適用してください。

関連情報

http://www.mozilla.org/security/announce/2014/mfsa2014-01.html

http://www.mozilla.org/security/announce/2014/mfsa2014-02.html

http://www.mozilla.org/security/announce/2014/mfsa2014-03.html

http://www.mozilla.org/security/announce/2014/mfsa2014-04.html

http://www.mozilla.org/security/announce/2014/mfsa2014-05.html

http://www.mozilla.org/security/announce/2014/mfsa2014-06.html

http://www.mozilla.org/security/announce/2014/mfsa2014-07.html

http://www.mozilla.org/security/announce/2014/mfsa2014-08.html

http://www.mozilla.org/security/announce/2014/mfsa2014-09.html

http://www.mozilla.org/security/announce/2014/mfsa2014-10.html

http://www.mozilla.org/security/announce/2014/mfsa2014-11.html

http://www.mozilla.org/security/announce/2014/mfsa2014-12.html

http://www.mozilla.org/security/announce/2014/mfsa2014-13.html

https://bugzilla.novell.com/show_bug.cgi?id=859055

https://bugzilla.novell.com/show_bug.cgi?id=861847

http://support.novell.com/security/cve/CVE-2014-1477.html

http://support.novell.com/security/cve/CVE-2014-1479.html

http://support.novell.com/security/cve/CVE-2014-1480.html

http://support.novell.com/security/cve/CVE-2014-1481.html

http://support.novell.com/security/cve/CVE-2014-1482.html

http://support.novell.com/security/cve/CVE-2014-1483.html

http://support.novell.com/security/cve/CVE-2014-1484.html

http://support.novell.com/security/cve/CVE-2014-1485.html

http://support.novell.com/security/cve/CVE-2014-1486.html

http://support.novell.com/security/cve/CVE-2014-1487.html

http://support.novell.com/security/cve/CVE-2014-1488.html

http://support.novell.com/security/cve/CVE-2014-1489.html

http://support.novell.com/security/cve/CVE-2014-1490.html

http://support.novell.com/security/cve/CVE-2014-1491.html

プラグインの詳細

深刻度: Critical

ID: 72554

ファイル名: suse_11_firefox-201402-140207.nasl

バージョン: 1.9

タイプ: local

エージェント: unix

公開日: 2014/2/18

更新日: 2021/1/19

サポートされているセンサー: Nessus Agent

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Critical

Base Score: 10

ベクトル: AV:N/AC:L/Au:N/C:C/I:C/A:C

脆弱性情報

CPE: p-cpe:/a:novell:suse_linux:11:MozillaFirefox, p-cpe:/a:novell:suse_linux:11:MozillaFirefox-branding-SLED, p-cpe:/a:novell:suse_linux:11:MozillaFirefox-translations, p-cpe:/a:novell:suse_linux:11:libfreebl3, p-cpe:/a:novell:suse_linux:11:libfreebl3-32bit, p-cpe:/a:novell:suse_linux:11:libsoftokn3, p-cpe:/a:novell:suse_linux:11:libsoftokn3-32bit, p-cpe:/a:novell:suse_linux:11:mozilla-nss, p-cpe:/a:novell:suse_linux:11:mozilla-nss-32bit, p-cpe:/a:novell:suse_linux:11:mozilla-nss-tools, cpe:/o:novell:suse_linux:11

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

パッチ公開日: 2014/2/7

参照情報

CVE: CVE-2014-1477, CVE-2014-1479, CVE-2014-1480, CVE-2014-1481, CVE-2014-1482, CVE-2014-1483, CVE-2014-1484, CVE-2014-1485, CVE-2014-1486, CVE-2014-1487, CVE-2014-1488, CVE-2014-1489, CVE-2014-1490, CVE-2014-1491