openSUSE セキュリティ更新:MozillaFirefox(openSUSE-SU-2012:1583-1)

critical Nessus プラグイン ID 74824
New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモート openSUSE ホストに、セキュリティ更新がありません。

説明

MozillaFirefox の問題:

- Firefox 17.0 への更新(bnc#790140)

- MFSA 2012-91/CVE-2012-5842/CVE-2012-5843 さまざまなメモリ安全性の問題

- MFSA 2012-92/CVE-2012-4202(bmo#758200)GIF 画像のレンダリング中のバッファオーバーフロー

- MFSA 2012-93/CVE-2012-4201(bmo#747607)evalInSanbox 位置コンテキストを間違って適用しました

- MFSA 2012-94/CVE-2012-5836(bmo#792857)パス上の SVG テキストを CSS と組み合わせるとクラッシュします

- MFSA 2012-95/CVE-2012-4203(bmo#765628)Javascript:URL は、新しいタブページ上の権限のあるコンテキストで実行されます

- MFSA 2012-96/CVE-2012-4204(bmo#778603)str_unescape のメモリ破損

- MFSA 2012-97/CVE-2012-4205(bmo#779821)XMLHttpRequest は、サンドボックス内で間違ったプリンシパルを継承します

- MFSA 2012-99/CVE-2012-4208(bmo#798264)XrayWrappers は、Chrome コンパートメント内でない場合に Chrome 限定のプロパティを公開します

- MFSA 2012-100/CVE-2012-5841(bmo#805807)クロスオリジンラッパーに対する不適切なセキュリティフィルタリング

- MFSA 2012-101/CVE-2012-4207(bmo#801681)HZ-GB-2312 文字セットでの不適切な文字デコーディング

- MFSA 2012-102/CVE-2012-5837(bmo#800363)開発ツールバーに入力されたスクリプトは、Chrome 権限で実行されます

- MFSA 2012-103/CVE-2012-4209(bmo#792405)フレームは top.location をシャドウできます

- MFSA 2012-104/CVE-2012-4210(bmo#796866)スタイルインスペクターからの CSS と HTML のインジェクション

- MFSA 2012-105/CVE-2012-4214/CVE-2012-4215/CVE-2012-4216/ CVE-2012-5829/CVE-2012-5839/CVE-2012-5840/CVE-2012-4212/ CVE-2012-4213/CVE-2012-4217/CVE-2012-4218 Address Sanitizer の使用で見つかった use-after-free とバッファオーバーフローの問題

- MFSA 2012-106/CVE-2012-5830/CVE-2012-5833/CVE-2012-5835/CVE-2 012-5838 Address Sanitizer の使用で見つかった use-after-free、バッファオーバーフロー、およびメモリ破損の問題

- パッチをリベースしました

- ビルドが破損しているために WebRTC を無効にしました(bmo#776877)

ソリューション

影響を受けた MozillaFirefox パッケージを更新してください。

関連情報

https://bugzilla.novell.com/show_bug.cgi?id=790140

https://lists.opensuse.org/opensuse-updates/2012-11/msg00090.html

プラグインの詳細

深刻度: Critical

ID: 74824

ファイル名: openSUSE-2012-817.nasl

バージョン: 1.6

タイプ: local

エージェント: unix

公開日: 2014/6/13

更新日: 2021/1/19

依存関係: ssh_get_info.nasl

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Critical

Base Score: 10

Temporal Score: 7.4

ベクトル: AV:N/AC:L/Au:N/C:C/I:C/A:C

現状ベクトル: E:U/RL:OF/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:MozillaFirefox, p-cpe:/a:novell:opensuse:MozillaFirefox-branding-upstream, p-cpe:/a:novell:opensuse:MozillaFirefox-buildsymbols, p-cpe:/a:novell:opensuse:MozillaFirefox-debuginfo, p-cpe:/a:novell:opensuse:MozillaFirefox-debugsource, p-cpe:/a:novell:opensuse:MozillaFirefox-devel, p-cpe:/a:novell:opensuse:MozillaFirefox-translations-common, p-cpe:/a:novell:opensuse:MozillaFirefox-translations-other, cpe:/o:novell:opensuse:12.1, cpe:/o:novell:opensuse:12.2

必要な KB アイテム: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2012/11/21

参照情報

CVE: CVE-2012-4201, CVE-2012-4202, CVE-2012-4203, CVE-2012-4204, CVE-2012-4205, CVE-2012-4207, CVE-2012-4208, CVE-2012-4209, CVE-2012-4210, CVE-2012-4212, CVE-2012-4213, CVE-2012-4214, CVE-2012-4215, CVE-2012-4216, CVE-2012-4217, CVE-2012-4218, CVE-2012-5829, CVE-2012-5830, CVE-2012-5833, CVE-2012-5835, CVE-2012-5836, CVE-2012-5837, CVE-2012-5838, CVE-2012-5839, CVE-2012-5840, CVE-2012-5841, CVE-2012-5842, CVE-2012-5843