MagicLinux 3firefox-3.0.10-1.2AXS3 (AXSA:2009-128:01)
medium Nessus 插件 ID 284432
语言:
简介
远程iraclelinux 主机缺少一个或多个安全更新。描述
远程iraclelinux 3 主机上存在安装的程序包该程序包受到 AXSA:2009-128:01 公告中提及的多个漏洞的影响。Mozilla Firefox 是一款开源 Web 浏览器专门针对标准合规性、性能和可移植性而设计。
修复的缺陷:
CVE-2009-1302 低于 3.0.9的 Mozilla Firefox 3.x ]、低于 2.0.0.22的Thunderbird 以及低于 1.1.16 的SeaMonkey 中的浏览器引擎允许远程攻击者通过与 相关的矢量造成拒绝服务应用程序崩溃并可能触发内存损坏 (1) nsAsyncInstantiateEvent ::Run(2) nsStyleContext::Destroy(3) nsCompulatedDOMStyle::GetWidth(4) XSLT 样式表编译器的 xslt_attributeset_ImportSameName.html 测试案例(5) nsXULDocument::SynchronizeBroadcastListener(6) IsBindingAncestor(7) ) PL_DHashTableOperate 和 nsEditor::EndUpdateViewBatch 和 (8) gfxSkipCharsIterator::SetOffsets 以及其他矢量。
CVE-2009-1303 之前的 3.0.9的Mozilla Firefox、 2.0.0.22之前的 Thunderbird 以及 1.1.16 之前的 SeaMonkey 中的浏览器引擎允许远程攻击者通过与 nsSVGElement::BindToTree 相关的矢量造成拒绝服务应用程序崩溃并且可能触发内存损坏。
CVE-2009-1304 低于 3.0.9的 Mozilla Firefox 3.x 、低于 2.0.0.22的Thunderbird 以及低于 1.1.16 的SeaMonkey 中的 JavaScript 引擎允许远程攻击者通过涉及 (1) js_FindPropertyHelper、与“数学”和“日期”的定义相关(2) js_CheckRedeclaration。
CVE-2009-1305 之前的 3.0.9版本的 Mozilla Firefox、 2.0.0.22之前的 Thunderbird 以及 1.1.16 之前的 SeaMonkey 中的 JavaScript 引擎允许远程攻击者通过涉及 JSOP_DEFVAR 和缺少 JSPROP_PERMANENT 的属性的矢量造成拒绝服务应用程序崩溃和可能触发内存损坏。属性中只有一个值。
CVE-2009-13063.0.9之前的 Mozilla Firefox、Thunderbird 和 SeaMonkey 中的 jar URI 实现不遵循内部 URI 的 Content-Disposition 标头这允许远程攻击者通过以下方式发动跨站脚本 (XSS) 攻击以及可能的其他攻击包含 Content-Disposition:
指定的附件。
CVE-2009-1307 view-source在 3.0.9之前的 Mozilla Firefox 、Thunderbird 和 SeaMonkey 中URI 实现未正确实现同源策略这允许远程攻击者 (1) 绕过 crossdomain.xml 限制并通过Flash 文件(2) 通过 Flash 文件读取、创建或修改本地共享对象或 (3) 绕过不明限制并通过涉及 jar: URI 的矢量呈现内容。
CVE-2009-13083.0.9] 之前的 Mozilla Firefox、Thunderbird 和 SeaMonkey 中的 跨站脚本 (XSS) 漏洞允许远程攻击者通过涉及 XBL JavaScript 绑定和远程样式表的矢量注入任意 Web 脚本或 HTML此漏洞已在通常环境中被 2009 年 3 月的Bay 列表。
CVE-2009-13093.0.9] 之前的 Mozilla Firefox 、Thunderbird 和 SeaMonkey 未正确实现 (1) XMLHttpRequest 涉及文档主体的不匹配和 (2) XPCNativeWrapper.toString涉及不正确 __proto__ 范围的同源策略其允许远程攻击者可通过构建的文档进行跨站脚本 (XSS) 攻击并可能进行其他攻击。
CVE-2009-1310 在 3.0.9 之前的 Mozilla Firefox 中MozSearch 插件实现中存在跨站脚本 (XSS) 漏洞允许用户协助的远程攻击者通过 SearchForm 元素中的 javascript: URI 注入任意 Web 脚本或 HTML。
CVE-2009-1311 低于 3.0.9 的 Mozilla Firefox 以及低于 1.1.17 的SeaMonkey 允许受用户协助的远程攻击者通过具有内嵌框架的网页获取敏感信息这会造成在 SAVEMODE_FILEONLY 期间外部页面的 POST 数据被发送到内部框架的 URL内部框架的保存操作。
CVE-2009-13123.0.9 之前的 Mozilla Firefox 及 SeaMonkey 未阻断 HTTP 响应中 Refresh 标头中的 javascript: URI这允许远程攻击者通过与 (1) 注入 Refresh 标头或 (2 ) 指定 Refresh 标头的内容。注意据后来报告Mozilla 1.7.x 和较早版本也受到影响。
CVE-2009-1313 Mozilla Firefox 3.0.9 的 layout/generic/nsTextFrameThebes.cpp 中的 nsTextFrame::ClearTextRun 函数允许远程攻击者通过不明矢量造成拒绝服务内存损坏并可能执行任意代码。注意据报告此漏洞存在的原因是对 CVE-2009-1302的修复不正确。
其他缺陷
- 重新定位了菜单条目中的 Firefox
Tenable 已直接从MiracleLinux 安全公告中提取上述描述块。
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
更新受影响的 firefox 程序包。另见
插件详情
严重性: Medium
ID: 284432
文件名: miracle_linux_AXSA-2009-128.nasl
版本: 1.2
类型: local
发布时间: 2026/1/14
最近更新时间: 2026/2/12
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
Vendor
Vendor Severity: High
CVSS v2
风险因素: High
基本分数: 9.3
时间分数: 8.1
矢量: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2009-1313
CVSS v3
风险因素: Medium
基本分数: 6.1
时间分数: 5.8
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
时间矢量: CVSS:3.0/E:H/RL:O/RC:C
CVSS 分数来源: CVE-2009-1308
漏洞信息
CPE: p-cpe:/a:miracle:linux:firefox, cpe:/o:miracle:linux:3
必需的 KB 项: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu
可利用: true
易利用性: Exploits are available
补丁发布日期: 2009/8/4
漏洞发布日期: 2009/4/22
参考资料信息
CVE: CVE-2009-1302, CVE-2009-1303, CVE-2009-1304, CVE-2009-1305, CVE-2009-1306, CVE-2009-1307, CVE-2009-1308, CVE-2009-1309, CVE-2009-1310, CVE-2009-1311, CVE-2009-1312, CVE-2009-1313