NewStart CGSL MAIN 4.05：thunderbird 多个漏洞 (NS-SA-2019-0136)

critical Nessus 插件 ID 127395

语言：

简介

远程机器受到多个漏洞影响。

描述

运行版本 MAIN 4.05 的远程 NewStart CGSL 主机安装有受多个漏洞影响的 thunderbird 程序包：- 使用加密消息的远程内容可导致纯文本泄露。该漏洞影响 Thunderbird ESR < 52.8 和 Thunderbird < 52.8。(CVE-2018-5184) - 构造的信息标头可造成 Thunderbird 进程在接收消息时挂起。该漏洞影响 Thunderbird ESR < 52.8 和 Thunderbird < 52.8。(CVE-2018-5161) - 解密的电子邮件可通过远程图像或链接的 src 属性泄露明文。该漏洞影响 Thunderbird ESR < 52.8 和 Thunderbird < 52.8。(CVE-2018-5162) - 有可能欺骗附件的文件名，并显示任意附件名。这可能导致用户打开与预期文件类型不同的远程附件。该漏洞影响 Thunderbird ESR < 52.8 和 Thunderbird < 52.8。(CVE-2018-5170) - 通过用户提交内嵌表单，可能泄露解密的电子邮件的纯文本。该漏洞影响 Thunderbird ESR < 52.8 和 Thunderbird < 52.8。(CVE-2018-5185) - 在带有裁剪路径的 SVG 动画期间，当枚举属性时，会发生释放后使用漏洞。这会导致潜在可利用的崩溃。此漏洞会影响 Thunderbird < 52.8、Thunderbird ESR < 52.8、Firefox < 60 和 Firefox ESR < 52.8。(CVE-2018-5154) - 在带有文本路径的 SVG 动画期间，当调整布局时，出现释放后使用漏洞。这会导致潜在可利用的崩溃。此漏洞会影响 Thunderbird < 52.8、Thunderbird ESR < 52.8、Firefox < 60 和 Firefox ESR < 52.8。(CVE-2018-5155) - 在 Skia 库中可能出现整数溢出，原因在于未检查整数溢出而在数组中使用 32 位整数，可能造成越界写入。这可能由 web 内容触发潜在可利用的崩溃。此漏洞会影响 Thunderbird < 52.8、Thunderbird ESR < 52.8、Firefox < 60 和 Firefox ESR < 52.8。(CVE-2018-5159) - 在 JavaScript 中从 UTF8 到 Unicode 字符串的转换过程中发现缓冲区溢出，其中包含大量数据。漏洞的出现需要使用恶意或易受攻击的旧版扩展。此漏洞会影响 Thunderbird ESR < 52.8、Thunderbird < 52.8 和 Firefox ESR < 52.8。(CVE-2018-5178) - Mozilla 开发人员在 Skia 库中向后移植了选定变更。此类变更校正了内存破坏问题，包括在图形操作期间的无效缓冲区读取和写入。此漏洞会影响 Thunderbird ESR < 52.8、Thunderbird < 52.8 和 Firefox ESR < 52.8。(CVE-2018-5183) - Firefox 59、Firefox ESR 52.7 和 Thunderbird 52.7 中已报告内存安全错误。有迹象表明其中某些错误可导致内存损坏，我们推测若攻击者有意操控，就能利用其中部分错误来运行任意代码。此漏洞会影响 Thunderbird < 52.8、Thunderbird ESR < 52.8、Firefox < 60 和 Firefox ESR < 52.8。(CVE-2018-5150) - 站点可通过操纵主题元素的 baseURI 属性，绕过对安装轻量级主题的权限的安全检查。这会允许恶意站点无需用户交互即可安装主题，其中可能包含冒犯性或尴尬的图像。此漏洞会影响 Thunderbird < 52.8、Thunderbird ESR < 52.8、Firefox < 60 和 Firefox ESR < 52.8。(CVE-2018-5168) 请注意，Nessus 并未针对此问题进行测试，而仅依赖应用程序自我报告的版本号。