openSUSE セキュリティ更新:firefox / seamonkey / thunderbird (openSUSE-SU-2013:0149-1)

critical Nessus プラグイン ID 74918
New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモート openSUSE ホストに、セキュリティ更新がありません。

説明

Mozilla の 2013 年 1 月 8 日のセキュリティリリースには、次の更新が含まれます:

Mozilla Firefox はバージョン 18.0 に更新されました。Mozilla SeaMonkey はバージョン 2.15 に更新されました。Mozilla Thunderbird はバージョン 17.0.2 に更新されました。Mozilla XULRunner はバージョン 17.0.2 に更新されました。

- MFSA 2013-01/CVE-2013-0749/CVE-2013-0769/CVE-2013-0770 さまざまなメモリ安全性の問題

- MFSA 2013-02/CVE-2013-0760/CVE-2013-0762/CVE-2013-0766/CVE-20 13-0767 CVE-2013-0761/CVE-2013-0763/CVE-2013-0771/CVE-2012-5829 Address Sanitizer の使用で見つかった use-after-free とバッファオーバーフローの問題

- MFSA 2013-03/CVE-2013-0768(bmo#815795)Canvas のバッファオーバーフロー

- MFSA 2013-04/CVE-2012-0759(bmo#802026)ページロード中のアドレスバーの URL のなりすまし

- MFSA 2013-05/CVE-2013-0744(bmo#814713)多数の列と列グループがあるテーブルを表示するときの use-after-free

- MFSA 2013-06/CVE-2013-0751(bmo#790454)タッチイベントが iframe を越えて共有されます

- MFSA 2013-07/CVE-2013-0764(bmo#804237)スレッドの SSL の処理によるクラッシュ

- MFSA 2013-08/CVE-2013-0745(bmo#794158)AutoWrapperChanger が、ガベージコレクション中のオブジェクトのアライブ維持に失敗します

- MFSA 2013-09/CVE-2013-0746(bmo#816842)コンパートメントが quickstubs 戻り値と一致しません

- MFSA 2013-10/CVE-2013-0747(bmo#733305)同一生成元ポリシーをバイパスするプラグインハンドラーのイベント操作

- MFSA 2013-11/CVE-2013-0748(bmo#806031)アドレススペースのレイアウトが XBL オブジェクトに漏洩します

- MFSA 2013-12/CVE-2013-0750(bmo#805121)JavaScript 文字列連結のバッファオーバーフロー

- MFSA 2013-13/CVE-2013-0752(bmo#805024)SVG を含む XML バインディングを持つ XBL のメモリ破損

- MFSA 2013-14/CVE-2013-0757(bmo#813901)プロトタイプの変更による Chrome Object Wrapper(COW)のバイパス

- MFSA 2013-15/CVE-2013-0758(bmo#813906)プラグインオブジェクトによる権限昇格

- MFSA 2013-16/CVE-2013-0753(bmo#814001)serializeToStream での use-after-free

- MFSA 2013-17/CVE-2013-0754(bmo#814026)ListenerManager での use-after-free

- MFSA 2013-18/CVE-2013-0755(bmo#814027)Vibrate での use-after-free

- MFSA 2013-19/CVE-2013-0756(bmo#814029)JavaScript Proxy オブジェクトでの use-after-free

Mozilla NSPR は、いくつかの小さなバグ修正と新機能が含まれる 4.9.4 に更新されました。

Mozilla NSS は、様々な新機能、セキュリティ修正およびバグ修正が含まれる 3.14.1 に更新されました:

- MFSA 2013-20/CVE-2013-0743(bmo#825022、bnc#796628)TURKTRUST から誤発行された中間証明書を取り消します

次の暗号化に関する変更が行われました:

- TLS 1.1(RFC 4346)のサポート

- DTLS 1.0(RFC 4347)と DTLS-SRTP(RFC 5764)の試験的なサポート

- AES-CTR、AES-CTS、および AES-GCM のサポート

- Keying Material Exporters for TLS(RFC 5705)のサポート

- MD5 ハッシュアルゴリズムを使用した証明書署名のサポートが、現在デフォルトで無効になっています

- NSS ライセンスは MPL 2.0 に変更しました。過去のリリースは、MPL 1.1/GPL 2.0/LGPL 2.1 トライアルライセンスでリリースされました。MPL 2.0 の詳細については、http://www.mozilla.org/MPL/2.0/FAQ.html を参照してください。GPL/LGPL の互換性に関する詳細については、ソースコードの security/nss/COPYING を参照してください。

- エクスポートと DES 暗号化パッケージは、デフォルトで無効になっています。
Non-ECC AES と Triple DES 暗号化パッケージは、現在デフォルトで無効になっています

詳細については、http://www.mozilla.org/security/announce/ を参照してください。

ソリューション

影響を受けるfirefox / seamonkey / thunderbird パッケージを更新してください。

関連情報

https://www.mozilla.org/en-US/MPL/2.0/FAQ.html.

https://www.mozilla.org/en-US/security/advisories/

https://bugzilla.novell.com/show_bug.cgi?id=796628

https://lists.opensuse.org/opensuse-updates/2013-01/msg00040.html

プラグインの詳細

深刻度: Critical

ID: 74918

ファイル名: openSUSE-2013-17.nasl

バージョン: 1.7

タイプ: local

エージェント: unix

公開日: 2014/6/13

更新日: 2021/1/19

依存関係: ssh_get_info.nasl

リスク情報

VPR

リスクファクター: Critical

スコア: 9.5

CVSS v2

リスクファクター: Critical

Base Score: 10

ベクトル: AV:N/AC:L/Au:N/C:C/I:C/A:C

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:MozillaFirefox, p-cpe:/a:novell:opensuse:MozillaFirefox-branding-upstream, p-cpe:/a:novell:opensuse:MozillaFirefox-buildsymbols, p-cpe:/a:novell:opensuse:MozillaFirefox-debuginfo, p-cpe:/a:novell:opensuse:MozillaFirefox-debugsource, p-cpe:/a:novell:opensuse:MozillaFirefox-devel, p-cpe:/a:novell:opensuse:MozillaFirefox-translations-common, p-cpe:/a:novell:opensuse:MozillaFirefox-translations-other, p-cpe:/a:novell:opensuse:MozillaThunderbird, p-cpe:/a:novell:opensuse:MozillaThunderbird-buildsymbols, p-cpe:/a:novell:opensuse:MozillaThunderbird-debuginfo, p-cpe:/a:novell:opensuse:MozillaThunderbird-debugsource, p-cpe:/a:novell:opensuse:MozillaThunderbird-devel, p-cpe:/a:novell:opensuse:MozillaThunderbird-devel-debuginfo, p-cpe:/a:novell:opensuse:MozillaThunderbird-translations-common, p-cpe:/a:novell:opensuse:MozillaThunderbird-translations-other, p-cpe:/a:novell:opensuse:enigmail, p-cpe:/a:novell:opensuse:enigmail-debuginfo, p-cpe:/a:novell:opensuse:libfreebl3, p-cpe:/a:novell:opensuse:libfreebl3-32bit, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo-32bit, p-cpe:/a:novell:opensuse:libsoftokn3, p-cpe:/a:novell:opensuse:libsoftokn3-32bit, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-js, p-cpe:/a:novell:opensuse:mozilla-js-32bit, p-cpe:/a:novell:opensuse:mozilla-js-debuginfo, p-cpe:/a:novell:opensuse:mozilla-js-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nspr, p-cpe:/a:novell:opensuse:mozilla-nspr-32bit, p-cpe:/a:novell:opensuse:mozilla-nspr-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nspr-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nspr-debugsource, p-cpe:/a:novell:opensuse:mozilla-nspr-devel, p-cpe:/a:novell:opensuse:mozilla-nss, p-cpe:/a:novell:opensuse:mozilla-nss-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs, p-cpe:/a:novell:opensuse:mozilla-nss-certs-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debugsource, p-cpe:/a:novell:opensuse:mozilla-nss-devel, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-tools, p-cpe:/a:novell:opensuse:mozilla-nss-tools-debuginfo, p-cpe:/a:novell:opensuse:seamonkey, p-cpe:/a:novell:opensuse:seamonkey-debuginfo, p-cpe:/a:novell:opensuse:seamonkey-debugsource, p-cpe:/a:novell:opensuse:seamonkey-dom-inspector, p-cpe:/a:novell:opensuse:seamonkey-irc, p-cpe:/a:novell:opensuse:seamonkey-translations-common, p-cpe:/a:novell:opensuse:seamonkey-translations-other, p-cpe:/a:novell:opensuse:seamonkey-venkman, p-cpe:/a:novell:opensuse:xulrunner, p-cpe:/a:novell:opensuse:xulrunner-32bit, p-cpe:/a:novell:opensuse:xulrunner-buildsymbols, p-cpe:/a:novell:opensuse:xulrunner-debuginfo, p-cpe:/a:novell:opensuse:xulrunner-debuginfo-32bit, p-cpe:/a:novell:opensuse:xulrunner-debugsource, p-cpe:/a:novell:opensuse:xulrunner-devel, p-cpe:/a:novell:opensuse:xulrunner-devel-debuginfo, cpe:/o:novell:opensuse:12.1, cpe:/o:novell:opensuse:12.2

必要な KB アイテム: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2013/1/9

エクスプロイト可能

Core Impact

Metasploit (Firefox 17.0.1 Flash Privileged Code Injection)

参照情報

CVE: CVE-2012-0759, CVE-2012-5829, CVE-2013-0744, CVE-2013-0745, CVE-2013-0746, CVE-2013-0747, CVE-2013-0748, CVE-2013-0749, CVE-2013-0750, CVE-2013-0751, CVE-2013-0752, CVE-2013-0753, CVE-2013-0754, CVE-2013-0755, CVE-2013-0756, CVE-2013-0757, CVE-2013-0758, CVE-2013-0759, CVE-2013-0760, CVE-2013-0761, CVE-2013-0762, CVE-2013-0763, CVE-2013-0764, CVE-2013-0766, CVE-2013-0767, CVE-2013-0768, CVE-2013-0769, CVE-2013-0770, CVE-2013-0771