Mozilla Thunderbird < 68.0

critical Nessus 插件 ID 128969

语言：

简介

远程 macOS 或 Mac OS X 主机上安装的邮件客户端受到多个漏洞的影响。

描述

远程 macOS 或 Mac OS X 主机上安装的 Thunderbird 版本低于 68.0。因此，如公告 mfsa2019-28 所述，受到多个漏洞的影响。- 重复使用内部视窗时，其未考量使用 document.domain 来进行跨源保护。若不同子域上的页面协同使用 document.domain，则任一页面都可滥用这一点将脚本注入另一个子域上的任意页面，即使不使用 document.domain 以放宽其来源安全性的页面亦然。此漏洞将影响 Firefox ESR < 60.8、Firefox < 68 和 Thunderbird < 60.8。(CVE-2019-11711) - 收到状态 308 重定向响应、由 NPAPI 插件发出的 POST 请求（如 Flash）可绕过 CORS 请求。这会允许攻击者执行跨站请求伪造 (CSRF) 攻击。此漏洞将影响 Firefox ESR < 60.8、Firefox < 68 和 Thunderbird < 60.8。(CVE-2019-11712) - 当 HTTP/2 缓存流关闭但仍处于使用状态时，HTTP/2 中会发生释放后使用漏洞，进而导致潜在的可利用崩溃。此漏洞将影响 Firefox ESR < 60.8、Firefox < 68 和 Thunderbird < 60.8。 (CVE-2019-11713) - Necko 在 UDP 连接期间会访问错误线程上的子程序，造成有时候可能会发生可遭恶意利用的崩溃。此漏洞影响 Firefox < 68。(CVE-2019-11714) - 空或畸形的 p256-ECDH 公钥可触发分段错误，这是因为正确清理值便将其复制进内存并使用。此漏洞将影响 Firefox ESR < 60.8、Firefox < 68 和 Thunderbird < 60.8。(CVE-2019-11729) - 由于解析页面内容时发生一个错误，正确清理的用户输入可能会被错译，并在某种情况下，导致网站上出现 XSS 危险。此漏洞将影响 Firefox ESR < 60.8、Firefox < 68 和 Thunderbird < 60.8。(CVE-2019-11715) - 在脚本明确访问之前，window.globalThis 无法列举且会造成对 Object.getOwnPropertyNames(window) 之类的代码不可见。部署沙盒的网站若是依靠枚举和释放 window 对象访问，可能会遗漏这点并造成绕过其沙盒。此漏洞影响 Firefox < 68。(CVE-2019-11716) - 存在一个漏洞，构建某些 URI 时，caret (^) 字符未正确避开，这是因为该字符用于分隔符，进而可能伪造源属性。此漏洞将影响 Firefox ESR < 60.8、Firefox < 68 和 Thunderbird < 60.8。(CVE-2019-11717) - 在 PKCS#8format 中导入前导 0x00 字节的 curve25519 私钥时，可能会在 Network Security Services (NSS) 库中触发越界读取。这可导致信息泄露。此漏洞将影响 Firefox ESR < 60.8、Firefox < 68 和 Thunderbird < 60.8。(CVE-2019-11719) - 在解析网络内容期间，有些 unicode 字符会被误视为空格，而不会触发解析错误。这会造成处理恶意代码，避开跨站脚本 (XSS) 筛选。此漏洞影响 Firefox < 68。(CVE-2019-11720) - unicode 'kra' 拉丁字符可用来伪造地址栏中的标准 'k' 字符。因为不会显示为 punycode 文本，导致可发动网域伪造攻击，让用户混淆不清。此漏洞影响 Firefox < 68。(CVE-2019-11721) - 存在一个漏洞，若有用户打开本地保存的 HTML 文件，此文件就可使用文件：若名称已知或被猜中，URI 可访问相同目录或子目录中的其他文件。而后，就可使用 Fetch API 来读取储存在这些目录中的任何文件内容，并将之上传至服务器。结合使用受欢迎的 Android 消息应用程序加以证明，若将恶意的 HTML 附件发送给某个用户，然后用户在 Firefox 中打开附件，由于应用程序本地保存文件名称的可预测模式，可以读取受害者从其他代理帐户接收的附件。此漏洞将影响 Firefox ESR < 60.8、Firefox < 68 和 Thunderbird < 60.8。(CVE-2019-11730) - 安装附件时存在一个漏洞，这会让初始提取 (fetch) 忽略浏览环境的原始属性。这可能会让使用 Firefox 多帐户容器 Web 扩展的用户，在私人浏览模式中或跨不同容器时泄露 cookie。此漏洞影响 Firefox < 68。(CVE-2019-11723) - 应用程序权限授予 input.mozilla.org 网站额外的远程故障排除权限，该权限已被淘汰且现在会重定向至其他网站。此为非必要的额外权限，可能会成为恶意攻击向量。此漏洞影响 Firefox < 68。(CVE-2019-11724) - 当用户浏览 Safebrowsing API 标记为不安全的网站时，虽然会显示警告消息并中断浏览，但是并不会阻挡通过 websocket 加载相同网站的资源，导致加载不安全资源并绕过安全浏览防护。此漏洞影响 Firefox < 68。(CVE-2019-11725) - 存在一个漏洞，其可能强制网络安全服务 (NSS) 使用服务器在 TLS 1.3 的 CertificateRequest 中唯一宣传的 PKCS#1 v1.5 签名来签署 CertificateVerify。PKCS#1 v1.5 签名不得用于 TLS 1.3 消息。此漏洞影响 Firefox < 68。(CVE-2019-11727) - 恶意网站可以使用 HTTP Alternative Services 标头 Alt-Svc，扫描用户加载网络内容时可访问之任何主机的所有 TCP 端口。此漏洞影响 Firefox < 68。(CVE-2019-11728) Mozilla 开发人员、社区成员报告 Firefox 67 中存在的内存安全错误。有迹象表明其中某些错误可导致内存损坏，我们推测若攻击者有意操控，就能利用其中部分错误来运行任意代码。此漏洞影响 Firefox < 68。(CVE-2019-11710) - Mozilla 开发人员、社区成员报告 Firefox 67 和 Firefox ESR 60.7 中存在内存安全错误。有迹象表明其中某些错误可导致内存损坏，我们推测若攻击者有意操控，就能利用其中部分错误来运行任意代码。此漏洞将影响 Firefox ESR < 60.8、Firefox < 68 和 Thunderbird < 60.8。(CVE-2019-11709) 请注意，Nessus 没有测试此问题，而仅依赖于应用程序自我报告的版本号。