RHEL 6:firefox (RHSA-2012:0515)
medium Nessus 插件 ID 58867
语言:
简介
远程 Red Hat 主机缺少一个或多个 firefox 安全更新。描述
远程 Redhat Enterprise Linux 6 主机上安装的程序包受到 RHSA-2012:0515 公告中提及的多个漏洞的影响。Mozilla Firefox 是一款开源网页浏览器。XULRunner 提供用于 Mozilla Firefox 的 XUL Runtime 环境。
已在由 Firefox 用于防止畸形 OpenType 字体中的潜在利用的 Sanitiser for OpenType (OTS) 中发现一个缺陷。包含恶意内容的网页可导致 Firefox 崩溃,或者在某些条件下可能以运行 Firefox 的用户的权限执行任意代码。(CVE-2011-3062)
包含恶意内容的网页可导致 Firefox 崩溃,或者可能以运行 Firefox 的用户的权限执行任意代码。(CVE-2012-0467、CVE-2012-0468、CVE-2012-0469)
包含恶意可缩放矢量图形 (SVG) 图像文件的网页可导致 Firefox 崩溃,或者可能以运行 Firefox 的用户的权限执行任意代码。(CVE-2012-0470)
在 Firefox 使用其嵌入式 Cairo 库来渲染某些字体的方式中发现一个缺陷。包含恶意内容的网页可导致 Firefox 崩溃,或者在某些条件下可能以运行 Firefox 的用户的权限执行任意代码。(CVE-2012-0472)
在 Firefox 使用 WebGL 渲染某些图像的方式中发现一个缺陷。包含恶意内容的网页可导致 Firefox 崩溃,或者在某些条件下可能以运行 Firefox 的用户的权限执行任意代码。(CVE-2012-0478)
在 Firefox 处理特定多字节字符集的方式中发现一个跨站脚本 (XSS) 缺陷。包含恶意内容的网页可造成 Firefox 以其他网站的权限运行 JavaScript 代码。(CVE-2012-0471)
在 Firefox 使用 WebGL 渲染某些图形的方式中发现一个缺陷。
包含恶意内容的网页可导致 Firefox 崩溃。
(CVE-2012-0473)
Firefox 中的一个缺陷允许地址栏显示与用户要访问的网站不同的网站。攻击者可利用此缺陷来隐藏恶意 URL,从而可能诱骗用户相信其正在查看受信任的站点,或者允许从攻击者的站点加载脚本,继而可能导致跨站脚本 (XSS) 攻击。
(CVE-2012-0474)
在 Firefox 解码 ISO-2022-KR 和 ISO-2022-CN 字符集的方式中发现一个缺陷。包含恶意内容的网页可造成 Firefox 以其他网站的权限运行 JavaScript 代码。
(CVE-2012-0477)
在 Firefox 处理 RSS 和 Atom feed 源的方式中发现一个缺陷。通过 HTTPS 加载的无效 RSS 或 Atom 内容导致 Firefox 在位置栏中显示上述内容的地址,而不是主窗口中的内容。之前的内容会继续显示。当页面实际上是由攻击者控制的内容时,攻击者可利用此缺陷来执行钓鱼攻击,或者诱骗用户认为访问由位置栏报告的站点。(CVE-2012-0479)
有关这些缺陷的技术详细信息,请参阅 Firefox 10.0.4 ESR 的 Mozilla 安全公告。在本勘误表的“参考”部分可以找到 Mozilla 公告的链接。
Red Hat 在此感谢 Mozilla 项目报告这些问题。
上游感谢 CVE-2011-3062 的原始报告者 Google 安全团队的 Mateusz Jurczyk; CVE-2012-0469 的原始报告者 OUSPG 的 Aki Helin; CVE-2012-0470 的原始报告者 OUSPG 的 Atte Kettunen; CVE-2012-0472 的原始报告者经 iDefense 的 team509 的 wushi; CVE-2012-0478 的原始报告者 Ms2ger; CVE-2012-0471 的原始报告者 Opera Software 的 Anne van Kesteren; CVE-2012-0473 的原始报告者 Matias Juntunen; CVE-2012-0474 的原始报告者 Jordi Chancel 和 Eddy Bordi 以及 Chris McGowen;CVE-2012-0477 的原始报告者 Masato Kinugawa;以及 CVE-2012-0479 的原始报告者 Jeroen van der Gun。
Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
请根据 RHSA-2012:0515 中的指南更新 RHEL firefox 程序包。另见
http://www.mozilla.org/security/known-vulnerabilities/firefoxESR.html
http://www.nessus.org/u?04bb0adf
https://access.redhat.com/errata/RHSA-2012:0515
https://access.redhat.com/security/updates/classification/#critical
https://bugzilla.redhat.com/show_bug.cgi?id=815000
https://bugzilla.redhat.com/show_bug.cgi?id=815019
https://bugzilla.redhat.com/show_bug.cgi?id=815020
https://bugzilla.redhat.com/show_bug.cgi?id=815021
https://bugzilla.redhat.com/show_bug.cgi?id=815022
https://bugzilla.redhat.com/show_bug.cgi?id=815023
https://bugzilla.redhat.com/show_bug.cgi?id=815024
https://bugzilla.redhat.com/show_bug.cgi?id=815026
https://bugzilla.redhat.com/show_bug.cgi?id=815037
插件详情
严重性: Medium
ID: 58867
文件名: redhat-RHSA-2012-0515.nasl
版本: 1.31
类型: local
代理: unix
发布时间: 2012/4/25
最近更新时间: 2025/4/15
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
风险信息
VPR
风险因素: High
分数: 8.8
Vendor
Vendor Severity: Critical
CVSS v2
风险因素: Critical
基本分数: 10
时间分数: 8.7
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2012-0470
CVSS v3
风险因素: Medium
基本分数: 6.1
时间分数: 5.8
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
时间矢量: CVSS:3.0/E:H/RL:O/RC:C
CVSS 分数来源: CVE-2012-0474
漏洞信息
CPE: cpe:/o:redhat:enterprise_linux:5, p-cpe:/a:redhat:enterprise_linux:xulrunner, cpe:/o:redhat:enterprise_linux:6, p-cpe:/a:redhat:enterprise_linux:xulrunner-devel, p-cpe:/a:redhat:enterprise_linux:firefox
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
可利用: true
易利用性: Exploits are available
补丁发布日期: 2012/4/24
漏洞发布日期: 2012/3/30
参考资料信息
CVE: CVE-2011-3062, CVE-2012-0467, CVE-2012-0468, CVE-2012-0469, CVE-2012-0470, CVE-2012-0471, CVE-2012-0472, CVE-2012-0473, CVE-2012-0474, CVE-2012-0477, CVE-2012-0478, CVE-2012-0479
BID: 53227, 53228, 53229, 53231, 53218, 53219, 53220, 53221, 53222, 53223, 53224, 53225