openSUSE 安全更新:MozillaThunderbird / seamonkey (openSUSE-SU-2014:0584-1)

high Nessus 插件 ID 75333

简介

远程 openSUSE 主机缺少安全更新。

描述

Mozilla Thunderbird 已更新到 24.4.0。Mozilla SeaMonkey 已更新到 2.25。

- MFSA 2014-15/CVE-2014-1493/CVE-2014-1494 多项内存安全危害

- MFSA 2014-17/CVE-2014-1497 (bmo#966311) 解码 WAV 文件期间发生越界读取

- MFSA 2014-18/CVE-2014-1498 (bmo#935618) crypto.generateCRMFRequest 不验证密钥的类型

- MFSA 2014-19/CVE-2014-1499 (bmo#961512) 对 WebRTC 权限提示的欺骗攻击

- MFSA 2014-20/CVE-2014-1500 (bmo#956524) onbeforeunload 和 JavaScript 导航 DOS

- MFSA 2014-22/CVE-2014-1502 (bmo#972622) WebGL 内容从一个域注入到另一个域中进行渲染

- MFSA 2014-23/CVE-2014-1504 (bmo#911547) 数据的内容安全策略:会话恢复时不保留文档

- MFSA 2014-26/CVE-2014-1508 (bmo#963198) 通过 MathML 中渲染多边形泄露信息

- MFSA 2014-27/CVE-2014-1509 (bmo#966021) 渲染 PDF 字体期间 Cairo 中内存损坏

- MFSA 2014-28/CVE-2014-1505 (bmo#941887) 通过 feDisplacementMap 泄露 SVG 过滤器信息

- MFSA 2014-29/CVE-2014-1510/CVE-2014-1511(bmo#982906、bmo#982909)使用 WebIDL 实现的 API 升级权限

- MFSA 2014-30/CVE-2014-1512 (bmo#982957) TypeObject 中的释放后使用

- MFSA 2014-31/CVE-2014-1513 (bmo#982974) 通过中立 ArrayBuffer 对象进行越界读取/写入

- MFSA 2014-32/CVE-2014-1514 (bmo#983344) 中立后通过 TypedArrayObject 进行越界写入

解决方案

更新受影响的 MozillaThunderbird / seamonkey 程序包。

另见

https://bugzilla.novell.com/show_bug.cgi?id=868603

https://lists.opensuse.org/opensuse-updates/2014-04/msg00064.html

插件详情

严重性: High

ID: 75333

文件名: openSUSE-2014-321.nasl

版本: 1.7

类型: local

代理: unix

发布时间: 2014/6/13

最近更新时间: 2021/1/19

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

风险信息

VPR

风险因素: Critical

分数: 9.5

CVSS v2

风险因素: High

基本分数: 9.3

时间分数: 7.3

矢量: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C

漏洞信息

CPE: p-cpe:/a:novell:opensuse:mozillathunderbird, p-cpe:/a:novell:opensuse:mozillathunderbird-buildsymbols, p-cpe:/a:novell:opensuse:mozillathunderbird-debuginfo, p-cpe:/a:novell:opensuse:mozillathunderbird-debugsource, p-cpe:/a:novell:opensuse:mozillathunderbird-devel, p-cpe:/a:novell:opensuse:mozillathunderbird-translations-common, p-cpe:/a:novell:opensuse:mozillathunderbird-translations-other, p-cpe:/a:novell:opensuse:enigmail, p-cpe:/a:novell:opensuse:enigmail-debuginfo, p-cpe:/a:novell:opensuse:seamonkey, p-cpe:/a:novell:opensuse:seamonkey-debuginfo, p-cpe:/a:novell:opensuse:seamonkey-debugsource, p-cpe:/a:novell:opensuse:seamonkey-dom-inspector, p-cpe:/a:novell:opensuse:seamonkey-irc, p-cpe:/a:novell:opensuse:seamonkey-translations-common, p-cpe:/a:novell:opensuse:seamonkey-translations-other, p-cpe:/a:novell:opensuse:seamonkey-venkman, cpe:/o:novell:opensuse:12.3, cpe:/o:novell:opensuse:13.1

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

可利用: true

易利用性: Exploits are available

补丁发布日期: 2014/4/22

可利用的方式

Metasploit (Firefox WebIDL Privileged Javascript Injection)

参考资料信息

CVE: CVE-2014-1493, CVE-2014-1494, CVE-2014-1497, CVE-2014-1498, CVE-2014-1499, CVE-2014-1500, CVE-2014-1502, CVE-2014-1504, CVE-2014-1505, CVE-2014-1508, CVE-2014-1509, CVE-2014-1510, CVE-2014-1511, CVE-2014-1512, CVE-2014-1513, CVE-2014-1514

BID: 66207, 66209, 66240, 66412, 66417, 66418, 66419, 66203, 66206, 66421, 66422, 66423, 66425, 66426, 66428, 66429